了解一下风险评估

=Start=

缘由：

通过阅读官方的标准/框架文档/指南来学习了解某一方向的内容的学习效率和质量是非常高的，后面可以多注意下这个思路和技巧。

正文：

参考解答：

信息安全风险评估是什么？

通过运用科学方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，防范和化解信息安全风险，将风险控制在可接受的水平，最大程度保障信息系统安全。

资产、脆弱性、威胁、安全措施 => 风险

=风险评估基本要素变化图.png=

评估准备
风险识别
风险分析
风险评价

=风险评估实施流程对比.png=

question:
如果要进行系统、全面的信息安全风险评估，有哪些标准、框架可以参考学习？请详细列举，并说明推荐的理由。

answer:
进行系统、全面的信息安全风险评估时，可以参考以下标准、框架和指南，它们提供了一套结构化的方法和最佳实践，有助于组织全面评估和管理信息安全风险：

ISO/IEC 27001：

简介：ISO/IEC 27001是信息安全管理系统（ISMS）的国际标准，提供了建立、实施、维护和持续改进信息安全管理体系的指南和要求。
推荐理由：ISO/IEC 27001是全球范围内最广泛采用的信息安全管理标准之一，通过其框架可以帮助组织建立系统化的信息安全管理体系，包括风险评估和风险管理。

NIST Cybersecurity Framework：

简介：NIST Cybersecurity Framework是美国国家标准与技术研究所（NIST）发布的框架，为组织提供了评估、改善和通信其信息安全风险管理实践的指南。
推荐理由：NIST Cybersecurity Framework是一个灵活的框架，可帮助组织理解和管理其信息安全风险，促进与利益相关者的沟通和合作。

ISO/IEC 31000：

简介：ISO/IEC 31000是风险管理的国际标准，提供了风险管理的原则、框架和过程，可应用于各种类型的风险，包括信息安全风险。
推荐理由：ISO/IEC 31000提供了通用的风险管理指南，可帮助组织在评估信息安全风险时采用系统化和结构化的方法。

FAIR（Factor Analysis of Information Risk）：

简介：FAIR是一种定量风险评估框架，旨在帮助组织量化信息安全风险，并更好地理解和管理这些风险。
推荐理由：FAIR框架提供了一种结构化的方法，可帮助组织更准确地评估和比较信息安全风险，有助于制定更有效的风险管理策略。

COSO ERM Framework：

简介：COSO ERM Framework是企业风险管理的综合框架，包括风险识别、评估、响应和监控等方面。
推荐理由：COSO ERM Framework提供了一个全面的风险管理框架，可帮助组织在评估信息安全风险时考虑整体风险管理的方面。

这些标准、框架和指南提供了不同的方法和视角，可以根据组织的需求和情况选择适合的进行信息安全风险评估，有助于组织建立有效的信息安全管理体系，降低潜在的风险和威胁。

什么是项目管理中的风险评估矩阵？

项目管理中的风险是意外事件，可能发生也可能不会发生，并以某种方式影响您的项目结果。分析和管理风险是项目管理中的关键实践，它提高了成功完成项目的机会，同时减少了发生任何风险的后果。

风险评估矩阵提供了风险分析的可视化表示，并根据风险的概率水平、严重程度或影响对风险进行分类。该工具是一种简单有效的方法，可以让所有团队成员和关键利益相关者全面了解项目风险。

风险评估矩阵的优缺点

您可能想知道是否值得花时间评估风险并为所有项目创建矩阵。那么，风险评估矩阵的好处不言而喻：

可以在了解严重程度的基础上对所有风险进行优先级排序。通过对所有潜在风险的概述，您可以在发生多种风险时确定它们的优先级。这种优先级将使您的项目团队受益，并有助于他们在项目出错时保持正轨。
可以为意外情况制定策略并分配资源。虽然不可能完全计划不确定性，但承认和了解可能发生的风险为这些意外事件制定行动计划提供了机会。适当规划风险可增加项目完成和成功的可能性。
将减少或消除发生的风险的影响。没有事先考虑的风险的意外后果可能比早期识别和分析的风险更严重和更具破坏性。了解潜在影响可以在项目风险发生之前减少或中和其影响。希望最好，但要为最坏的情况做好准备。

虽然风险矩阵对于识别和准备项目风险非常有用，但它们并不能解决所有项目问题。以下是风险矩阵的一些缺点：

评估不准确：风险矩阵类别可能不够具体，无法准确比较和区分风险水平。某些风险的严重性和可能性往往是主观的，因此是不可靠的。
糟糕的决策：错误分类的风险可能导致糟糕的决策，因为你对潜在问题没有准确的了解。
没有考虑到时间框架：风险矩阵没有区分两周后可能发生的风险和两年后可能出现的风险。没有考虑到这些年来风险会发生怎样的变化。
会将风险过于简单化：风险的复杂性和波动性可以过于简单化——一些风险随着时间的推移保持不变，而另一些风险可能在一夜之间发生变化。

风险评估矩阵进阶

=风险响应矩阵.png=

风险响应矩阵的用途在于可以表示以下内容：

风险的实际位置
风险的实际位置，以及行动计划后风险的计划目标位置
从过去到今天实际状况的风险变化

=风险/机会矩阵.png=

人们往往只考虑可能危及项目的因素，这个项目有哪些机会常常被遗忘。我们其实可以使用与风险相同的程序来识别和评估机会，然而，当涉及到在风险矩阵中展示机会时，机会被遗忘了。这是因为评估风险只有一个矩阵。由于像风险这样的机会是根据概率和影响来评估的，所以在一个共同的图表中呈现这两者是有意义的。风险和机会是并存的，要善于利用和抓住风险带来的机会。

该图显示了风险/机会组合矩阵。在左侧评估风险，在右侧评估机会。横轴显示对项目的影响，从外部到内部增加。纵轴显示概率，从下到上递增。

参考链接：

信息安全风险的评估 #后面写文档/画图可以参考
https://mp.weixin.qq.com/s/luE0rFwMJN-KOJRSBGCYSQ

信息安全之风险评估解析
https://mp.weixin.qq.com/s/VT0xKXNM0X7BG1YIcLuzng

图解下载|《信息安全技术数据安全风险评估方法》附风险评估模板
https://mp.weixin.qq.com/s/oAt7L34suPQWtxw74YIqpg

原创文章 | 浅谈信息安全风险评估和数据安全风险评估的异同
https://mp.weixin.qq.com/s/Wj8yxo83yybXR0GOiOjjlA

标准解读|【GB∕T 39335-2020 信息安全技术个人信息安全影响评估指南】
https://mp.weixin.qq.com/s/xKHTwq_kKv88pk9kyfw9CQ

聊聊新版风险评估的变化
https://www.freebuf.com/articles/342273.html

信息安全风险评估标准迎来重大更新：7大变化须知
https://www.secrss.com/articles/43739

GB/T 20984-2022【现行】
中文名称：信息安全技术信息安全风险评估方法
https://www.nssi.org.cn/nssi/front/117347120.html

标准号：GB/T 20984-2022
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=FDA38AB7D08A715C6B6D69DFDEABB2C0

GB/T 43697-2024 （实施日期2024-10-01）
中文名称：数据安全技术数据分类分级规则
https://std.samr.gov.cn/gb/search/gbDetailed?id=14156507D2210337E06397BE0A0AE656

国家标准目录
https://std.samr.gov.cn/gb/gbQuery

风险评估矩阵是什么？怎么使用它呢？
https://mp.weixin.qq.com/s/4PjfwJRdTUG5pGsuKWad4w

=END=

4 4 月, 2024

Docker

KnowledgeBase, Security, Tools

27001, Security, 信息安全, 国家标准, 威胁, 安全措施, 脆弱性, 资产, 项目管理, 风险, 风险评估, 风险评估矩阵