确定安全风险 每种风险可能都不会给您造成同等程度的损害或损失。例如,员工笔记本电脑上的病毒可能会导致系统停机和员工信息丢失,但勒索软件攻击可能 工作职能邮件数据库 会让整个部门连续几天停工。在某些情况下,安全攻击的影响也可能是无形的(例如,客户流失、品牌资产受损、员工士气低落)。
评估并分析每个已识别的安全
风险对您的业务可能产生的影响。例如,网络攻击的影响可以从多个方面感受到——业务运营、财务、客户信任和法规遵从性。
在评估模板的 F 列(风险影响)下添加有关每个安全风险 对于小型电子商务网站来说,折扣是一种好的策略吗? 影响的详细信息。根据您的业务运营可能受到的影响的严重程度,在 H 列(影响级别)下将影响级别评定为“高”、“低”或“中”。
评估现有的安全控制措施并提出新措施
列出您已经拥有的应对每种风险的安全控制措施。例如,您可能拥有网络监控软件来跟踪流量峰值并收到有关可能的DDoS 攻击的通知,或者您可能拥有电子邮件安全 比特币数据库 软件来过滤网络钓鱼电子邮件。
此外,分析现有的安全措施,确定需要加强 IT 安全性的领域。根据分析结果,在必要时提出新的和改进的安全控制措施确定安全风险。