国家标准与技术研究所是学习如何进行风险评估的一个很好的资源 进行风险评估指南. NIST 800-30 Rev. 1概述了有效的网络安全风险评估的六个步骤:

1. 识别威胁来源

有效的风险评估的第一步是识别和描述威胁来源. 所包括的不同类别的一些例子是“对抗性威胁”.g. 敌对民族国家和有组织犯罪集团)和“环境威胁”(e.g. 飓风和地震). 一些组织提供全面的威胁目录，如CMS, BSI, ENISA.

2. 识别威胁事件

第二步是识别潜在的威胁事件, 事件的相关性, 并将它们与相应的威胁来源联系起来. 钓鱼攻击就是一个例子, 会话劫持, 强迫身体进入，这很好, 老式的私闯民宅.

3. 识别漏洞

识别威胁事件后, 组织必须识别影响威胁事件导致损失可能性的漏洞和易感条件. NIST 800-30在附录F中提供了易感条件的分类和一些用于建立漏洞的样本规模. 组织应该考虑针对安全框架进行当前状态分析. 示例框架包括NIST CSF、NIST SP 800-171、NIST 800-53、COBIT和ISO 27000系列. 还建议组织进行技术渗透测试，以识别漏洞.

4. 确定被剥削的可能性

第四步涉及确定所选威胁事件导致损失的可能性. 这是一个相当复杂的过程, 它包含了至少三个子步骤，以达到一个可靠的最终结果. NIST 800-30的附录G包含了完成该步骤所需的所有信息.

5. 确定可能的影响

这一步主要是确定损失事件最有可能产生的影响. 再一次, 这些步骤相当复杂, 但是详细的指导包含在NIST 800-30的附录H中.

6. 计算风险为可能性和影响的组合

风险评估的最后一步是将步骤4和步骤5中计算的可能性值和影响值结合起来，得出一个风险值. NIST 800-30在附录I中详细说明了如何使用9块矩阵来完成这个任务.

风险评估最困难的方面之一是管理这一过程. 尽管技术领域已经发生了变化, 许多公司仍然依赖手工流程和Excel电子表格来管理风险评估过程.

作为网络安全顾问, 我们注意到，企业在管理风险评估时所采用的繁琐程序, 我们决定创造一个解决方案来帮助消除写报告的麻烦, 一旦评估完成.

镇流器是一个 风险评估软件 帮助公司管理风险评估. 通过 压舱物，只需单击一下，就可以生成适合审计人员或高管的精美报告. 我们还利用NIST 800-30中包含的评估方法，并以允许您执行和跟踪不同资产或供应商的数百种评估的方式优化了压舱物.

了解更多关于LBMC 信息安全如何帮助您充分了解您的风险或压舱物如何帮助您管理风险评估过程的信息, 今天就明升体育app下载的团队.