什么是威脅評(píng)估

      威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無論對(duì)于多么安全的信息系統(tǒng)，它都存在。

      威脅評(píng)估采用的方法是問卷調(diào)查、問詢、數(shù)據(jù)取樣、日志分析。在這一過程中，首先要對(duì)組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識(shí)別。在威脅評(píng)估過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷，一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響。識(shí)別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。

什么是脆弱性評(píng)估

      脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn)，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個(gè)方面，這些都可能被各種安全威脅利用來侵害一個(gè)組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。

      脆弱性評(píng)估將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估，就是對(duì)脆弱性被威脅利用的可能性進(jìn)行評(píng)估，第三方安全評(píng)估介紹，終為其賦相對(duì)等級(jí)值。在進(jìn)行脆弱性評(píng)估時(shí)，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的以及軟硬件信息系統(tǒng)方面的人員。在評(píng)估中，從技術(shù)脆弱性和安全管理脆弱性兩個(gè)方面進(jìn)行脆弱性檢查。

風(fēng)險(xiǎn)分析的原理

風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為：

對(duì)資產(chǎn)進(jìn)行識(shí)別，第三方安全評(píng)估，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；

對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；

對(duì)脆弱性進(jìn)行識(shí)別，第三方安全評(píng)估價(jià)值，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；

根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；

根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；

根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。

多面魔方技術(shù)服務(wù)公司-第三方安全評(píng)估公司-第三方安全評(píng)估由多面魔方（北京）技術(shù)服務(wù)有限公司提供。多面魔方（北京）技術(shù)服務(wù)有限公司是北京 北京市 ,安全相關(guān)軟件的見證者，多年來，公司貫徹執(zhí)行科學(xué)管理、創(chuàng)新發(fā)展、誠實(shí)守信的方針，滿足客戶需求。在多面魔方領(lǐng)導(dǎo)攜全體員工熱情歡迎各界人士垂詢洽談，共創(chuàng)多面魔方更加美好的未來。