结果导致风险分析(无论是定量的还是混合的)在每个个案(组织)中都是以自己的方式进行的,由于对当前威胁的理解不同,它们的结果从根本上来说是无法比较的,而且质量是无法衡量的,完全取决于进行风险分析的人员的能力。
什么措施可以帮助克服所有这些困难?
- 确定负责处理信息安全事件统计数据的行业能力中心(或为整个俄罗斯联邦组织一个单一的能力中心,例如基于 FSTEC)。
- 在专家社区的参与下形成行业威胁目录。这些威胁目录应按照统一的原则构建,以方便使用和相互比较。事实上,我们希望看到一个扩展和改进的 FSTEC 威胁库版本,考虑到威胁的嵌套。将威胁分解为 2-3 个级别似乎合乎逻辑 ,而所有行业的顶级威胁应该是相同的。
- 形成统一的信息安全事件后果评估方法基础和标准化的报告形式。
-
开发行业特定的信息安全风险
- 分析方法(例如,基于 ISO 31010:2009 中规定的方法)。
- 立法整合对已发生的、符合预定义标准的信息安全事件的强制报告。
这些措施的中期实施将使我们能够收集到足 印度尼西亚电报数据 够数量的统计数据并开发所使用的方法,这将使我们能够在未来转向可持续的实践,定期评估每个特定组织的信息安全成本的有效性。
我们的食谱
目前,人们只能梦想从上层实现这种形式化。但尽管存在所有困难,任何组织的信息安全服务都必须与高层管理人员进行互动,证明其 让·维亚拉 未来的开支并报告过去的开支。正如我们已经发现的,基于风险分析的 欧盟电话号码 传统方法并不十分适合这种情况(尽管一切都取决于具体情况和具体决策者的立场)。因此,我们需要寻找其他选择。