Phân tích rủi ro xác định việc xem xét các rủi ro liên quan đến hành động hoặc sự kiện cụ thể. Phân tích khủng hoảng được sử dụng cho công nghệ thông tin, dự án, các vấn đề bảo mật và một số sự kiện khác trong đó rủi ro có thể được phân tích dựa trên cơ sở định lượng và định tính.
Có một số bước được thực hiện theo quy trình phân tích rủi ro như sau -
-
Thành lập Nhóm đánh giá rủi ro - Nhóm đánh giá rủi ro sẽ chịu trách nhiệm về việc thu thập, phân tích và lập hồ sơ kết quả đánh giá cho ban giám đốc. Điều cần thiết là nhóm phải xác định một số khía cạnh của dòng công việc hoạt động, chẳng hạn như nguồn nhân lực, quy trình quản trị, hệ thống tự động và bảo mật vật lý.
-
Đặt phạm vi của Dự án - Nhóm đánh giá cần nhận ra ngay từ đầu các mục tiêu của dự án đánh giá, bộ phận hoặc các sự kiện chức năng cần đánh giá, trách nhiệm của các thành viên trong nhóm, nhân sự được phỏng vấn, các tiêu chuẩn sẽ được sử dụng, tài liệu sẽ được kiểm tra và các hoạt động cần kiểm tra.
-
Xác định nội dung được đề cập trong Đánh giá - Nội dung có thể liên quan đến, nhưng không được xác định, nhân sự, phần cứng, phần mềm, dữ liệu (chẳng hạn như phân loại độ nhạy và mức độ quan trọng), cơ sở vật chất và các biện pháp kiểm soát hiện tại đảm bảo an toàn cho các tài sản đó. Đây là chìa khóa để nhận ra tất cả các tài sản liên quan đến dự án đánh giá được xác định trong phạm vi.
-
Phân loại các khoản lỗ có thể xảy ra - Nó có thể xác định những tổn thất có thể do một số loại thiệt hại đối với tài sản. Tổn thất có thể do thiệt hại vật chất, từ chối dịch vụ, thay đổi, truy cập trái phép hoặc tiết lộ. Tổn thất có thể là vô hình, bao gồm cả việc mất uy tín của tổ chức.
-
Xác định các mối đe dọa và lỗ hổng bảo mật - Mối đe dọa là một sự kiện, thủ tục, hoạt động hoặc quy trình khai thác lỗ hổng để tấn công tài sản. Nó liên quan đến các mối đe dọa tự nhiên, mối đe dọa tình cờ, mối đe dọa tình cờ của con người và mối đe dọa độc hại của con người. Những điều này có thể liên quan đến sự cố mất điện, ô nhiễm sinh học hoặc tràn hóa chất nguy hiểm, hành vi của các tính năng hoặc lỗi phần cứng / phần mềm, xóa dữ liệu hoặc mất tính toàn vẹn, phá hoại hoặc trộm cắp hoặc phá hoại.
Lỗ hổng bảo mật là một điểm yếu mà một mối đe dọa sẽ khai thác để tấn công tài sản. Lỗ hổng có thể được nhận ra bằng cách giải quyết những điều sau trong quy trình thu thập dữ liệu như bảo mật vật lý, môi trường, bảo mật hệ thống, bảo mật truyền thông, bảo mật nhân sự, kế hoạch, chính sách, quy trình, quản lý, hỗ trợ , v.v.
-
Xác định các Kiểm soát hiện có - Các biện pháp kiểm soát là các biện pháp bảo vệ làm giảm xác suất mối đe dọa sẽ khai thác lỗ hổng để tấn công mạnh vào tài sản. Nó có thể nhận ra những biện pháp bảo vệ hiện đang được thực thi và xác định hiệu quả của chúng trong bối cảnh phân tích hiện tại.
-
Phân tích dữ liệu - Trong bước này, tất cả dữ liệu thu thập được sẽ được sử dụng để quyết định rủi ro thực tế đối với tài sản đang xem xét. Một phương pháp để phân tích dữ liệu bao gồm việc chuẩn bị một bản ghi về tài sản và hiển thị các mối đe dọa tương ứng, loại tổn thất và lỗ hổng bảo mật. Việc phân tích dữ liệu này phải bao gồm đánh giá về tần suất có thể xảy ra khả năng rơi.