【内容解析】
1.风险识别的目的是决定什么发生可能会造成潜在损失,并深入了解损失可能如何、何地、为什么发生。
2.风险识别包括:威胁识别、脆弱性识别、后果识别和现有控制措施的识别。
a)威胁识别:威胁有可能损害资产,诸如信息、过程、系统甚至组织。威胁的来源可能是自然的或人为的,可能是意外的或是故意的。也可能来自组织内部或外部。所以对整体并按类型(如未授权行为,物理损害,技术故障)识别威胁意味着没有威胁被忽视,包括突发的威胁。
b)脆弱性识别:脆弱性本身不会产生危害,只有被某个威胁利用时才会产生危害。没有相应威胁的脆弱性可能不需要实施控制措施,但是应关注和监视其变化。
c)后果识别:后果可能是丧失有效性、不利运行条件、业务损失、声誉破坏等。资产受到损害时,后果可能是临时性的,也可能是永久的。
d)现有控制措施识别:为避免不必要的工作或成本,如,重复的控制措施。此外,识别现有的控制措施时,进行检查以确保控制措施在正确运行是非常必要的活动。
3.在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失效可能造成的对组织的影响。
4.根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施,评估安全失效发生的现实可能性。
5.估计风险级别。