如何用安全风险分析来评估可接受的风险等级
时间:2010-05-1413:48来源:michaelcobbtechtarget中国字体:[大中小]
网络风险多种多样。停电可以停掉整个网络,黑客可以入侵服务器,恶意的内部人士可以通过usb盘窃取敏感信息,这些只是些比较明显的例子。潜在的风险太多了,以至于很难确定企业可以承受的风险,不能承受的风险,以及在降低到一个可接受的风险级别时企业可以应付的风险。
要减少停电的风险,我们可以投资一套备用发电机,但是要想降低黑客成功攻入网络的风险应该怎么做了。这个风险永远也不可能完全排除,所以确定将其降低为可接受的风险级别所需花费就很重要了。本指南将介绍如何通过企业安全风险分析来达到这个目的。
在企业中定义一个可接受的风险级别
可接受的风险级别应该由管理层根据业务的法律和监管遵从责任,以及它的风险类型和业务驱动来决定。还应该考虑风险对业务的影响,例如业务收入损失、意外花销,以及风险发生时所带来的生产停滞。信息安全专业人士应该作为风险和管理层之间的媒介,解释潜在的安全风险对业务目标的影响,以便他们在风险和可接受的风险等级之间取得平衡。
(未完,全文共1521字,当前显示484字)
(请认真阅读下面的提示信息)