服务项目 |
ISO27001认证办理,信息安全体系认证辅导,ISO27000认证申请,信息安全管理体系认证 |
面向地区 |
工业品 |
机械设备 |
风险评估
简单讲,在这程之前都是关于数据收集和事实评估的。此前的各个阶段都有些事实上的关联。漏洞的识别方式可以分为技术的、逻辑的和物理的。组织针对这些 所做的决策将和他们统计这些威胁的动作有关。这意味着现在实际分析出来的风险同组织整体的―风险追求‖
有关,―风险追求‖即组织对风险所采取的愿望。风险 评估包含识别潜在的业务伤害,它们来自每项识别出的风险。
可能性
在此前,评估是在各种识别出的威胁拥有相同的发生的可能性下进行的。真实情况并不会如此,所以有必要评估相关影响发生的可能性或者概率。概率可以分级为―非常不可能到―时常会发生。
计算风险级别
后一步的工作是对每项影响计算出风险级别,并且将详细情况转交组织资产和风险日志。风险级别是影响和可能性综合作用的结果。经常将风险划为三个级别: 低、中和高。当可能的影响较低,而可能性也低时,风险级别可认定为低;当可能的影响和可能性都是高时,风险级别可认定为高;其它界于两者之间的可认定为中 级。然而,每个组织都可以根据自身实际情况分类和设定每项影响的风险级别。
