|
|
|
|
|
|
|
|
|
|
|
|
针对网络系统所存在的各种风险,给出具体的风险控制建议,其目标在于降低网络系统的安全风险。
|
|
|
|
对不可接受的相关风险,应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择从管理与技术两个方面考虑。安全措施的选择与实施参照信息安全的相关标准进行。目前,网络安全风险管理的控制措施主要有以下十大类:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
为确保安全措施的有效性,一般要进行再评估,以判断实施安全措施后的风险是否已经降低到可接受的水平。残余风险的评估可按照风险评估流程实施,也可做适当裁减。安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的,因此,残余风险的评估从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
|
|
|
|
|
|
|
|
| |
|
|
|
