當(dāng)前位置: 首頁 > ISO認(rèn)證項(xiàng)目 >> ISO27001認(rèn)證

ISO27001認(rèn)證咨詢風(fēng)險(xiǎn)評(píng)估工具有哪些？

發(fā)布時(shí)間:2013-12-11

瀏覽次數(shù):8352次

ISO27001認(rèn)證咨詢風(fēng)險(xiǎn)評(píng)估過程中，可以利用一些輔助性的工具和方法來采集數(shù)據(jù)，包括：
* CORA —— CORA（Cost-of-Risk Analysis）是由國(guó)際安全技術(shù)公司（International Security Technology, Inc. www.ist-usa.com）開發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲(chǔ)風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的依據(jù)。風(fēng)險(xiǎn)評(píng)估過程中，可以利用一些輔助性的工具和方法來采集數(shù)據(jù)，包括：　

　* 調(diào)查問卷 —— 風(fēng)險(xiǎn)評(píng)估者通過問卷形式對(duì)組織信息安全的各個(gè)方面進(jìn)行調(diào)查，問卷解答可以進(jìn)行手工分析，也可以輸入自動(dòng)化評(píng)估工具進(jìn)行分析。從問卷調(diào)查中，評(píng)估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況?！?/span>

　* 檢查列表 —— 檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的，對(duì)特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款，通過檢查列表，操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距?！?/span>

　* 人員訪談 —— 風(fēng)險(xiǎn)評(píng)估者通過與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的安全意識(shí)、業(yè)務(wù)操作、管理程序等重要信息?！? 漏洞掃描器 —— 漏洞掃描器（包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)）可以對(duì)信息系統(tǒng)中存在的技術(shù)性漏洞（弱點(diǎn)）進(jìn)行評(píng)估。許多掃描器都會(huì)列出已發(fā)現(xiàn)漏洞的嚴(yán)重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。　

　* 滲透測(cè)試 —— 這是一種模擬黑客行為的漏洞探測(cè)活動(dòng)，它不但要掃描目標(biāo)系統(tǒng)的漏洞，還會(huì)通過漏洞利用來驗(yàn)證此種威脅場(chǎng)景?！　〕诉@些方法和工具外，風(fēng)險(xiǎn)評(píng)估過程最常用的還是一些專用的自動(dòng)化的風(fēng)險(xiǎn)評(píng)估工具，無論是商用的還是免費(fèi)的，此類工具都可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險(xiǎn)，最終給出對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)并推薦相應(yīng)的安全措施。目前常見的自動(dòng)化風(fēng)險(xiǎn)評(píng)估工具包括：　
　　

　* COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英國(guó)的C&A系統(tǒng)安全公司推出的一套風(fēng)險(xiǎn)分析工具軟件，它通過問卷的方式來采集和分析數(shù)據(jù)，并對(duì)組織的風(fēng)險(xiǎn)進(jìn)行定性分析，最終的評(píng)估報(bào)告中包含已識(shí)別風(fēng)險(xiǎn)的水平和推薦措施。此外，COBRA 還支持基于知識(shí)的評(píng)估方法，可以將組織的安全現(xiàn)狀與ISO 17799 標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補(bǔ)措施。C&A 公司提供了COBRA 試用版下載：http://www.security-risk-analysis.com/cobdown.htm?！?/span>

　* CRAMM —— CRAMM（CCTA Risk Analysis and Management Method）是由英國(guó)政府的中央計(jì)算機(jī)與電信局Central Computer and Telecommunications Agency，CCTA）于1985年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。經(jīng)過多次版本更新（現(xiàn)在是第四版），目前由Insight 咨詢公司負(fù)責(zé)管理和授權(quán)。CRAMM是一種可以評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對(duì)策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。CRAMM的安全模型數(shù)據(jù)庫(kù)基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型，評(píng)估過程經(jīng)過資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、選擇合適的推薦對(duì)策這三個(gè)階段。CRAMM與BS 7799 標(biāo)準(zhǔn)保持一致，它提供的可供選擇的安全控制多達(dá)3000 個(gè)。除了風(fēng)險(xiǎn)評(píng)估，CRAMM還可以對(duì)符合99vIL（99v Infrastructure Library）指南的業(yè)務(wù)連續(xù)性管理提供支持?！?/span>

　* ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)（National Institute of Standard and Technology，NIST）發(fā)布的一個(gè)可用來進(jìn)行安全風(fēng)險(xiǎn)自我評(píng)估的自動(dòng)化工具，它采用典型的基于知識(shí)的分析方法，利用問卷方式來評(píng)估系統(tǒng)安全現(xiàn)狀與NIST SP 800-26 指南之間的差距。NIST Special Publication 800-26，即信息技術(shù)系統(tǒng)安全自我評(píng)估指南（Security Self-Assessment Guide for Information Technology Systems），為組織進(jìn)行99v系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了眾多控制目標(biāo)和建議技術(shù)。ASSET 是一個(gè)免費(fèi)工具，可以在NIST 的網(wǎng)站下載：http://icat.nist.gov?！　?br /> 文章作者：深圳市瑞峰盈企業(yè)管理咨詢有限公司
本文地址：http://www.m.ericthoreson.com版權(quán)所有
轉(zhuǎn)載時(shí)請(qǐng)鏈接ISO27001認(rèn)證

上一篇： 成為信息安全專家要注意的方面有哪些？

下一篇： 沒有了！

欧美日韩精品一区二区视频永久免|国产精品中文字幕亚洲欧美|成人乱码一区二区三区|欧美视频一区二区

服務(wù)項(xiàng)目

ISO27001認(rèn)證咨詢風(fēng)險(xiǎn)評(píng)估工具有哪些？

欧美日韩精品一区二区视频永久免|国产精品中文字幕亚洲欧美|成人乱码一区二区三区|欧美视频一区二区

服務(wù)項(xiàng)目

ISO27001認(rèn)證咨詢風(fēng)險(xiǎn)評(píng)估工具有哪些？

ISO27001認(rèn)證咨詢風(fēng)險(xiǎn)評(píng)估工具有哪些？