基于业务线LOB风险评估方法

基于资产的半定量风险评估方法虽然逻辑比较严谨,但在真正实施时却有一个非常大的不足,就是识别出来的资产特别多的话,会存在大量的风险是重复的,即很多资产都存在同样的风险,尤其是安全风险并不是资产本身的原因所带来的更是如此。

针对这个问题,很多人可能会提出那只识别关键资产来进行风险评估,不就能够把这个问题解决了吗?从标准逻辑上来讲,那就要看如何识别关键资产,先把资产全部识别出来然后进行筛选是一种方法,除此之外的另一种方法就是通过基于业务线的方法来进行风险评估。

一、梳理业务线(Line of Business

首先按照业务现状梳理出业务线(LOB),从静态和动态两个方面进行了分析归纳,静态模型是LOB属性定义,动态模型是LOB的序列图(Sequence Diagram),通过这两个方面可以帮助识别需要保护的资产和评估信息安全风险。

LOB属性定义:包括LOBID、名称、描述、所有者、类别、部门、安全需求。LOB属性定义示例如下:基于业务线LOB风险评估方法

LOB的序列图:遵循UML中序列图定义,即对象之间的信息交互时间序列图。序列图示例如下:

基于业务线LOB风险评估方法

二、基于LOB识别信息资产

根据LOB分别详细统计信息资产,系统地整理和归纳业务线(LOB)中需要保护的信息资产及其资产保护价值,并形成保护资产手册。

资产识别中的资产定义模型是基于信息安全需求分析的角度对保护资产的描述。保护资产信息模型包括一组属性定义,这些属性具体描述如下:

基于业务线LOB风险评估方法

注意基于LOB资产识别方法的变化,第一是资产只有一个总体价值,CIA变成了安全需求,不再进行赋值;第二是信息资产识别的主线是基于业务线LOB的,每个资产属于一个业务线LOB;第三是只定义了所有者,没有定义维护者和使用者,所有者对安全全权负责。

三、识别LOB信息安全威胁

识别针对业务线LOB存在的信息安全威胁。所谓威胁是指可能对保护资产产生破坏影响的因素,这些因素包括能力、手段、动机等。

威胁评估中的威胁定义模型是对信息安全威胁特征的描述。威胁信息模型包括一组属性定义,这些属性具体描述如下:

基于业务线LOB风险评估方法

四、识别LOB信息安全弱点

弱点存在于LOB资产或LOB的管理中,弱点可能会被威胁利用而对LOB产生风险。弱点可以分为管理弱点、技术弱点和配置弱点三类,管理弱点包括LOB流程和政策等方面的弱点;技术弱点包括技术设计与实现缺陷、软件漏洞等方面的弱点;配置弱点包括参数配置和服务配置等方面的弱点。

弱点评估中的弱点定义模型是对信息安全弱点特征的描述。弱点信息模型包括一组属性定义,这些属性具体描述如下:

基于业务线LOB风险评估方法

五、信息风险分析与评价

根据风险分析模型,风险是威胁、弱点和业务线LOB资产的函数,即:风险=f(威胁,弱点,资产)。然后可以用矩阵法或者半定量赋值法进行风险计算,风险计算与风险评价与其它风险评估方法并无不同。

风险分析中的风险定义模型是对信息安全风险特征的描述。这些特征通过定义风险的属性进行描述。风险定义模型如下:

基于业务线LOB风险评估方法

总结:基于业务线LOB的风险评估方法在国内安全评估实践中并不常见,根本原因在于梳理业务线不能使用工具自动完成,操作起来相对而言比较费时费力。但是在基于资产的风险评估不太适用时,如业务过程安全风险评估、业务连续性风险评估等,还是推荐使用基于业务线LOB风险评估方法,因为此评估方法相对业务梳理比较清晰,还能避免陷入资产过于繁杂的陷阱。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年8月3日 上午8:45
下一篇 2022年8月3日 上午8:47

相关推荐

  • 住建项目建设管理系统

    住建项目建设管理系统:助力建设高效、安全、可靠的项目 住建项目建设管理系统是一种用于项目管理和协调的软件系统,能够帮助项目管理人员高效地组织和管理项目,确保项目在预定时间和预算内完…

    科研百科 2025年1月6日
    2
  • 施工项目进度计划软件

    施工项目进度计划软件 随着建筑行业的发展,施工项目进度计划软件已经成为了一个非常有用的工具。施工项目进度计划软件可以帮助项目经理和工程师更好地管理施工项目,确保项目按时完成。本文将…

    科研百科 2024年8月14日
    52
  • 河口区六合街道“三个到位”,构建基层党建信息化

    大众网东营8月10日讯(见习记者 唐梦琳)为完善农村基层党组织信息数据,充分发挥“党建 可视化系统”功能,六合街道党建办成立信息采集小组,深入农村基层现场采集相关数据,不断完善党建…

    科研百科 2023年11月8日
    183
  • 用友nc系统项目管理

    用友nc系统项目管理 用友nc系统是一款功能强大的nc软件,用于企业的财务管理、生产管理、供应链管理等领域。项目管理是nc系统应用中非常重要的一个方面,本文将从项目管理的角度出发,…

    科研百科 2024年12月26日
    3
  • 合同管理创新

    合同管理创新 合同管理是企业管理中非常重要的一环,它是保证企业运营顺畅、减少合同风险的关键。随着经济全球化和市场竞争的加剧,合同管理创新已经成为企业提高竞争力、实现可持续发展的必要…

    科研百科 2024年8月25日
    31
  • 大数据开发软件

    大数据开发软件是一种用于处理和分析大规模数据的工具。随着互联网的快速发展和智能设备的普及,大数据的产生和应用越来越广泛。为了有效地处理和利用这些海量数据,大数据开发软件应运而生。 …

    科研百科 2023年7月22日
    149
  • 轻量级项目管理

    轻量级项目管理:让项目更高效、更可控、更成功 近年来,随着互联网和信息技术的不断发展,轻量级项目管理已经成为一种越来越流行的项目管理方式。相对于传统的项目管理方式,轻量级项目管理更…

    科研百科 2024年7月27日
    54
  • 佛山市电子用工合同服务平台启动

    文、图/羊城晚报全媒体记者 景瑾瑾 6月1日,由佛山市人力资源和社会保障局主办的“电·启人社新征程 智·创惠民广未来”——佛山电子用工合同服务平台启动仪式举办。该平台功能全面,将用…

    科研百科 2022年11月22日
    235
  • 为什么要读《三精管理》(三精管理精髓是什么)

    文:晓理 《三精管理》讲了些什么 《三精管理》是中国上市公司协会会长、中国企业改革与发展研究会会长宋志平新出的第19部著作,这本书主要是聚焦企业经营管理的关键要点,从组织、管理、经…

    科研百科 2024年7月12日
    75
  • 内蒙古百万亩有机天然牧草认证促进畜牧业发展

       8月21日,内蒙古首个超百万亩有机天然牧草认证证书颁发仪式在呼和浩特市蒙草敕勒川草原修复项目基地举行,蒙草公司在陈巴尔虎旗200万亩和新巴尔虎左旗的40万亩天然牧草…

    科研百科 2022年6月7日
    345