排在前3位的风险评估步骤

安静的美男子

排在前3位的风险评估步骤
数据安全和数据防护的潜在威胁并不会减少。技术发展非常迅速，这其中也包括带有恶意性质的技术。现在所有形式的恶意软件，包括病毒，ransomware，广告软件和劫持者比以前更加先进。他们也带来更大的风险。为了开始避免这种风险，首先需要确定和量化它。这种风险评估需要遵循以下三个步骤。
1. 数据资产分析
许多复杂的风险评估过程通常会将这一步骤分为三个。 然而，这三个子步骤都是为了了解哪些数据处于风险中这一单一的目标。这三个子步骤是：
识别 ——这涉及到深入了解企业收集和存储的数据类型。这将包括客户的信息，付款数据，交易记录等数据。公司需要存储，访问和使用操作的所有数据。 一旦列表完成，它应该在数据价值层面给予优先级。
位置 ——既然现在已经确定了数据资产的优先列表，那么现在是定位每个数据仓库的时候了。可能的位置可能包括云服务，内部服务器，用户桌面，移动设备等。
分类 —— 根据目前创建的列表和信息，现在是开始将实际威胁级别分类到每个数据仓库的时候了。这意味着将每个数据仓库放入一个类别，例如：公共的数据一类，内部的（但不是秘密的）数据一类，敏感的内部数据一类，区域化的内部数据一类和监管数据一类。每个种类都附有一个特定的号码。
2.因果关系 ——最糟糕的情况是什么？
既然已经确定，分类和优先考虑了潜在的易受攻击的数据仓库，现在是揭示所面临得威胁有多大的时候了。这意味着这是对最高优先级，最关键的数据运行理论上的最坏情况的攻击。
这可能听起来很复杂，但事实上，微软已经开发了一个非常简单的假设框架，用于执行风险评估的这一步骤。 它的首字母缩略词是STRIDE，这代表：
身份造假
篡改数据
驳回交易
信息披露
终止服务
特权提升
这些都是网络攻击最常见的，有害的形式。只需将列表中的每个数据仓库，根据每个STRIDE项目用1-10来表示。 1是最不可能的情况，10个是最有可能的情况。 此外，就评估数据违规的影响有多严重给每个数据仓库打分。再次给出1-10的分数。 1代表的是最小的影响，10代表这对业务连续性来说完全是灾难性。 把两个数字相乘，然后来分总体威胁等级。 注意这里提到的是威胁一词，而不是风险。
3.做数学计算，制定风险评估计划
现在来揭示实际的风险。利用上面收集的信息，现在是时候做一些数学计算来发现哪些数据仓库具有最大的风险，哪个如果违规，可能会对企业造成最大的损害。
这又是很容易做到的。取上述步骤生成的两个数字，并乘以它们。 例如，如果我们有一个分类为5（规定）和威胁级别为100的数据仓库，则我们得出风险为1000。这跟他们的风险程度一样高。
对列表中的每个数据仓库进行此操作，然后按威胁级别从最高到最低排序。 结果是最高风险数据仓库的清单。他们应该比较低风险的数据仓库获得更高水平的保护。

冷月残阳

好贴。。。