ISO27001認證咨詢風險評估工具有哪些��?
| |
發(fā)布時間:2013-12-11 |
瀏覽次數(shù):8304次 |
|
|
ISO27001認證咨詢風險評估過程中,可以利用一些輔助性的工具和方法來采集數(shù)據(jù)��,包括:
* CORA —— CORA(Cost-of-Risk Analysis)是由國際安全技術公司(International Security Technology, Inc. www.ist-usa.com)開發(fā)的一種風險管理決策支持系統(tǒng)�,它采用典型的定量分析方法�,可以方便地采集、組織���、分析并存儲風險數(shù)據(jù)�����,為組織的風險管理決策支持提供準確的依據(jù)����。風險評估過程中�����,可以利用一些輔助性的工具和方法來采集數(shù)據(jù),包括:
* 調查問卷 —— 風險評估者通過問卷形式對組織信息安全的各個方面進行調查�����,問卷解答可以進行手工分析�����,也可以輸入自動化評估工具進行分析���。從問卷調查中�����,評估者能夠了解到組織的關鍵業(yè)務��、關鍵資產���、主要威脅、管理上的缺陷�����、采用的控制措施和安全策略的執(zhí)行情況����?��!?/span>
* 檢查列表 —— 檢查列表通常是基于特定標準或基線建立的,對特定系統(tǒng)進行審查的項目條款���,通過檢查列表����,操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距�����?���!?/span>
* 人員訪談 —— 風險評估者通過與組織內關鍵人員的訪談��,可以了解到組織的安全意識���、業(yè)務操作��、管理程序等重要信息��?���!? 漏洞掃描器 —— 漏洞掃描器(包括基于網絡探測和基于主機審計)可以對信息系統(tǒng)中存在的技術性漏洞(弱點)進行評估。許多掃描器都會列出已發(fā)現(xiàn)漏洞的嚴重性和被利用的容易程度��。典型工具有Nessus�、ISS、CyberCop Scanner 等�。
* 滲透測試 —— 這是一種模擬黑客行為的漏洞探測活動��,它不但要掃描目標系統(tǒng)的漏洞���,還會通過漏洞利用來驗證此種威脅場景���。 除了這些方法和工具外���,風險評估過程最常用的還是一些專用的自動化的風險評估工具���,無論是商用的還是免費的,此類工具都可以有效地通過輸入數(shù)據(jù)來分析風險�,最終給出對風險的評價并推薦相應的安全措施�。目前常見的自動化風險評估工具包括:
* 調查問卷 —— 風險評估者通過問卷形式對組織信息安全的各個方面進行調查���,問卷解答可以進行手工分析��,也可以輸入自動化評估工具進行分析�。從問卷調查中�����,評估者能夠了解到組織的關鍵業(yè)務�、關鍵資產、主要威脅����、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況�����?����!?/span>
* 檢查列表 —— 檢查列表通常是基于特定標準或基線建立的��,對特定系統(tǒng)進行審查的項目條款��,通過檢查列表����,操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距?�!?/span>
* 人員訪談 —— 風險評估者通過與組織內關鍵人員的訪談�����,可以了解到組織的安全意識�����、業(yè)務操作�、管理程序等重要信息?�!? 漏洞掃描器 —— 漏洞掃描器(包括基于網絡探測和基于主機審計)可以對信息系統(tǒng)中存在的技術性漏洞(弱點)進行評估����。許多掃描器都會列出已發(fā)現(xiàn)漏洞的嚴重性和被利用的容易程度。典型工具有Nessus、ISS��、CyberCop Scanner 等���?�!?/span>
* 滲透測試 —— 這是一種模擬黑客行為的漏洞探測活動�����,它不但要掃描目標系統(tǒng)的漏洞�����,還會通過漏洞利用來驗證此種威脅場景�����?��! 〕诉@些方法和工具外,風險評估過程最常用的還是一些專用的自動化的風險評估工具��,無論是商用的還是免費的���,此類工具都可以有效地通過輸入數(shù)據(jù)來分析風險����,最終給出對風險的評價并推薦相應的安全措施��。目前常見的自動化風險評估工具包括:
* COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英國的C&A系統(tǒng)安全公司推出的一套風險分析工具軟件����,它通過問卷的方式來采集和分析數(shù)據(jù),并對組織的風險進行定性分析����,最終的評估報告中包含已識別風險的水平和推薦措施。此外�,COBRA 還支持基于知識的評估方法,可以將組織的安全現(xiàn)狀與ISO 17799 標準相比較��,從中找出差距�����,提出彌補措施�。C&A 公司提供了COBRA 試用版下載:http://www.security-risk-analysis.com/cobdown.htm?!?/span>
* CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英國政府的中央計算機與電信局Central Computer and Telecommunications Agency�����,CCTA)于1985年開發(fā)的一種定量風險分析工具�,同時支持定性分析����。經過多次版本更新(現(xiàn)在是第四版),目前由Insight 咨詢公司負責管理和授權�����。CRAMM是一種可以評估信息系統(tǒng)風險并確定恰當對策的結構化方法�����,適用于各種類型的信息系統(tǒng)和網絡���,也可以在信息系統(tǒng)生命周期的各個階段使用���。CRAMM的安全模型數(shù)據(jù)庫基于著名的“資產/威脅/弱點”模型,評估過程經過資產識別與評價�����、威脅和弱點評估、選擇合適的推薦對策這三個階段�����。CRAMM與BS 7799 標準保持一致�,它提供的可供選擇的安全控制多達3000 個�����。除了風險評估�����,CRAMM還可以對符合99vIL(99v Infrastructure Library)指南的業(yè)務連續(xù)性管理提供支持����。
* ASSET —— ASSET(Automated Security Self-Evaluation Tool)是美國國家標準技術協(xié)會(National Institute of Standard and Technology�����,NIST)發(fā)布的一個可用來進行安全風險自我評估的自動化工具���,它采用典型的基于知識的分析方法����,利用問卷方式來評估系統(tǒng)安全現(xiàn)狀與NIST SP 800-26 指南之間的差距。NIST Special Publication 800-26�����,即信息技術系統(tǒng)安全自我評估指南(Security Self-Assessment Guide for Information Technology Systems)����,為組織進行99v系統(tǒng)風險評估提供了眾多控制目標和建議技術。ASSET 是一個免費工具����,可以在NIST 的網站下載:http://icat.nist.gov?��! ?br />
文章作者:深圳市瑞峰盈企業(yè)管理咨詢有限公司
本文地址:http://www.m.ericthoreson.com版權所有
轉載時請鏈接ISO27001認證
下一篇:
沒有了����!
