關於資安稽核的弱點等級評估？

資安稽核弱點等級評估

lsesroom 2023-11-02 11:51:18 ‧ 1557 瀏覽

請問弱點等級評估是以組織現況去評估，還是要抽離組織現況？

例如：
有一項軟體資訊資產，我認為威脅是"未經授權存取或使用"，弱點是"存取權限授予不當或未定期審查"。

現況是組織有定期審視授權，所以不太會有因為"未經授權存取或使用"的事情發生，所以弱點等級是低的。

或是要依抽離組織現況來看，因為"存取權限授予不當或未定期審查"造成"未經授權存取或使用"的機會是高的，所以弱點等級是高的。

froce iT邦大師 1 級 ‧ 2023-11-02 14:29:50 檢舉

當然是依照現況評估。
你幹嘛浪費力氣去評估不是你組織現況的狀況?評估完對你組織有啥意義?
稽核系統是用系統化的思維，讓你了解目前組織的狀況，了解完你才能去改善。

lsesroom iT邦新手 3 級 ‧ 2023-11-02 14:35:12 檢舉

了解，謝謝

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

CyberSerge

iT邦好手 1 級 ‧ 2023-11-03 04:38:24

先釐清你要判斷的是弱點等級和風險

弱點等級主要考慮影響
風險除了影響，也要考慮發生的機率

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

IT邦幫忙