论坛

通知事项
全部清除

威胁与风险评估(TRA)的目的是什么?  


太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

威胁和风险评估分析软件系统中的漏洞,检查与这些漏洞相关的潜在威胁,并评估由此产生的安全风险。

 

漏洞是指“可能被执行(意外触发或有意利用)并导致安全漏洞或违反系统安全策略的系统安全程序,设计,实施或内部控制的缺陷或弱点”(NIST SP800- 30信息技术系统风险管理指南)。

 

威胁的级别取决于任何自然,人类或环境来源触发或利用任何已确定的漏洞的可能性。

 

风险评估既要考虑该威胁发生的可能性,也要考虑它对系统和组织的影响。

 

然后可以根据严重程度(例如风险的接受程度,采用缓解计划或实施避免策略)为每种风险制定适当的策略。

主题标签
分享: