信息安全认证:信息安全脆弱性赋值方法
添加时间:2021-2-7
脆弱性赋值就是针对组织资产所存在的脆弱性,评估确定脆弱性的脆弱程度。评估者采用经验法判断。在确定赋值时应充分考虑以下因素的影响∶
a)脆弱点的社会知晓度;
b)脆弱点的利用成本;
c)利用脆弱点所要求的能力(如技术能力);
d)脆弱性被利用的难易程度。
脆弱性实际赋值过程中,除了考虑上面几个因素,下面信息需要特别加以关注,尤其是在再评估时。
e)通过过去的安全事件报告或记录,统计各种发生过的脆弱点被利用的频率;
f)过去一年或两年来社会对脆弱点的整体防护的程度。
脆弱性的赋值通常采取等级划分方式,一般为五级(见表5-8),从1~5分别代表五个级别的脆弱的程度。等级数值越大,脆弱性越大。
当然,评估者也可以根据被评估系统的实际情况自定义脆弱性的等级,但该评定方法必须在事先得到预先的定义和认可。
关于“ISO27000认证咨询”的相关资讯
