信息安全管理风险评估的优点和缺点
基线评估的优点是需要的资源少、周期短、操作简单,是经济有效的风险评估途径。缺点,比如基线水准的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到所需的安全要求。
2)详细评估(Detailed Assessment)是指组织对信息资产进行详细识别和评价,对可能引起风险的威胁和脆弱性进行充分地评估,根据全面系统的风险评估结果来确定安全需求及控制方案。
这种评估途径集中体现了风险管理的思想,全面系统地评估资产风险,在充分了解信息安全具体情况下,力争将风险降低到可接受的水平。
详细评估的优点在于组织可以通过详细的风险评估对信息安全风险有较全面的认识,能够准确确定目前的安全水平和安全需求。
详细的风险评估可能是一个非常耗费资源的过程,包括时间、精力和技术,因此组织应该仔细设定待评估的信息资产范围,以减少工作量。
3)组合评估要求首先对所有的系统进行一次初步的风险评估,依据各信息资产的实际价值和可能面临的风险,划分出不同的评估范围,对于具有较高重要性的资产部分采取详细风险评估,而其它部分采用基线风险评估。
组合评估将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被优先关注。
组合评估的缺点是如果初步的高级风险评估不够准确,可能导致某些本需要详细评估的系统被忽略。
信息安全管理优点:ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框 架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断 地采取管控措施,以把风险降低到组织可接受的程度。
信息安全管理缺点:它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系 的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会 有高下之分。
风险评估优点: 风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的 信息安全风险评估综合方法及操作模型。国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风 险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好 的指导意义。
风险评估缺点:《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。另一方面,《信息安全风险评估指南》主要是对所识别的一个个静态资产进行风险评估,涉及IT治理、IT管理流程、IT运维、IT审计、IT价值实现 等方面的风险,并不能完全套用以上信息资产的风险评估方法,由于这类风险涉及组织的核心业务,组织对此更加关心,因此,在实施信息安全过程中,准确地识别 其中的风险并能加以控制,对组织具有重要意义。
到此,以上就是小编对于针对企业网络安全弱点,如何开展漏洞评估工作的问题就介绍到这了,希望介绍的1点解答对大家有用,有任何问题和不懂的,欢迎各位老师在评论区讨论,给我留言。
微信扫一扫打赏
