识别现有控制措施
清点资产并找到对应的威胁後,就要检讨目前现有的控制措施,资讯安全的议题是持续性的,所以会不断采取对应的措施去应付威胁,这个阶段就是要寻找已经采取的控制措施,例如:已经安装防毒软件来控制中毒的威胁,所以先要将已有的控制措施及风险处理计画列出一个清单,检查有没有不充分或不合理的地方,确认控制措施的有效性,找出不必要的工作及花费,藉由内部稽核或管理审查确认控制措施的成效,最後产出现有及计画的控制措施清单、实施方式与可使用状态,以便进一步分析。
识别弱点
从前面三项已经识别的资产、威胁及现有控制措施的清单中,我们可以经由程序、例行的管理、个人行为、实体环境、资讯系统的组态设定、软硬体及通讯装备等等事项去识别可能被威胁利用以对资产或组织造成损害的弱点。从下面的图片中可以知道,资产位於中间,威胁是外来的,资产外面有一些现有的防护措施(红色部分),但是仍不够,有一些威胁还是可以轻易地利用弱点或漏洞(蓝色部分)去侵害到资产,所以这个步骤就利用已知的资讯去找到弱点,最後的结果是与资产、威胁和控制措施相关的弱点清单还有待检视与威胁不相关的弱点清单。
<<: Python3下载pandas,执行Run之後,下面的Terminal一直闪烁,且并没有Run出东西
接下来的测试将会需要用到 mocking 的 library ,在 Android 大家比较常用的是...
生命周期介绍 在一开始建立Vue的实体,然後挂载到#app就算是已经在使用元件,而这一连串的建立到被...
作用域(scoop)简单来说,就是变数的地盘,在地盘内,变数都有作用,出了地盘,变数就undefi...
刚写了一下觉得,其实好像很难收尾,就先暂时不跟那个影片了。 想一想,其实这些内容,大家直接跟着影片也...
有关於并行和并发的定义每个人可能有不一样的解释 并行指的是在同一时刻,多条指令在 CPU 上同时执行...