2回答
我见过一些组织在网络安全方面投资不足,人手不足的情况,因此很难满足其安全计划中定义的政策要求。我认为许多公司没有对网络安全进行适当的投资,这种情况相当普遍。
我的问题与衡量不符合政策要求的风险有关。通过进行标准风险评估来衡量风险的定义是明确的:确定威胁/漏洞,并评估利用的影响和可能性。但是,如果您不知道漏洞的可能性/影响,因为您根本没有人力在所有系统中执行风险评估,那么这种情况又如何呢?基本术语:
浏览 0提问于2020-06-11得票数 0
回答已采纳
3回答
企业级安全测试方法
、、、、
我被要求为一家公司做风险评估。该范围涵盖了大约100个应用程序和不同的业务单位。主要任务是评估目前实施的安全控制措施,并在评估后提出建议。还提供关于防止数据泄漏、源代码和其他敏感信息的建议。我将其作为使用NIST CSF等框架的组织级安全风险评估,而我的同事则更多地考虑进行SDLC/敏捷/devops过程风险评估的风险评估,在我看来,这不是安全风险评估,而是项目
浏览 0提问于2018-12-23得票数 6
我知道,社会工程师方面有很多风险,如果你把自己的一切都放在心上,黑客就会得到你自己提供的大部分信息,就像人们在Facebook或任何其他社交媒体上一样。我想知道网络安全专家和那些人是如何预防和保护自己的安全的?这只是自己的风险问题吗?
浏览 0提问于2019-04-03得票数 2
3回答
我的经理要求我为定义的任务编写工作时间估计和源代码更改的风险评估。我如何处理这个任务(经验规则,关于风险评估的文件,.)?
浏览 0提问于2011-07-05得票数 7
回答已采纳
2回答
有必要平衡风险和成本。需要进行风险评估,以确定预防措施的成本效益。在进行风险评估时应遵循哪些框架?我认为这里还没有任何问题涉及到这一点。
请-没有答案只包含链接到外部资源。我想要一个或两个详细的答案,包括概述风险评估通常是如何在大型组织进行。
浏览 0提问于2012-10-08得票数 10
回答已采纳
根据CERT C编码标准,每条规则都附有风险评估汇总表。规则02。声明和初始化(DCL)风险评估摘要DCL31-C低不可能低P3 L3
风险评估汇总表向程序员传达了什么信息,如何解释它?上面提到的术语是什么?它们是什么意思?
浏览 1提问于2017-11-29得票数 2
我认为当前针对以下受众的安全风险评估工具的问题是什么:小企业:不知道如何进行符合法规要求的风险评估,比如PCI。因此,要么雇佣昂贵的联系人,要么聘请顾问。这样就可以将安全风险评估推送到业务和IT
浏览 0提问于2011-03-14得票数 -3
回答已采纳
我正在撰写我们的内部信息安全风险管理程序。这一程序应说明我们如何准确地进行风险识别、评估、治疗和监测。
我想遵循ISO 27005,但我被困在上下文建立部分。这是一个我必须在我的过程中定义的一次性过程,还是一个重复的任务,必须在每个风险评估过程开始时完成(考虑到在某些有限的范围(如web服务)进行的风险评估)?
浏览 0提问于2017-02-01得票数 3
3回答
我所在的公司正在评估不同的风险分析解决方案来购买,但其中一位安全人员引入了这个想法,真正构建我们自己的内部平台/引擎。你必须创建自己的算法吗?对于所有的问题,我很抱歉,我只是在合规部门工作,从来没有机会与风险分析解决
浏览 0提问于2017-03-26得票数 4
2回答
我有一个使用PHP构建的在线应用程序,用于保存多个风险评估。用户可以在web表单中键入标题、日期和签名,选择所需的风险评估,然后按保存。但是,我被要求在每个选定的风险评估下实现文本框,以便为每个评估添加单独的注释。我当前的代码遍历每个选定的风险评估,并向每个风险评估添加相同的信息。现在我该如何为每一个添加独特的注释。
浏览 31提问于2020-02-11得票数 0
回答已采纳
3回答
我对风险评估和风险分析之间的区别感到有点困惑。许多人主张在需求阶段进行风险评估,在设计阶段进行风险分析。
你能给我解释一下他们之间的区别吗?
浏览 0提问于2015-10-24得票数 1
回答已采纳
OSSTMM中RAV的计算作为一种安全度量似乎非常有用,但是,它们是否能够成为符合新的ISO 27001:2013和ISO 31000的风险评估方法的基础?ISO 27001:2013年风险评估要求与ISO 31000相一致,因此我认为我们可以专注于ISO 31000。国际标准化组织31000建立了以下阶段:风险分析风险处理
我认为OSSTMM测试可以与风险识别(发现、识别和描述风险<
浏览 0提问于2014-04-28得票数 6
回答已采纳
我们目前正在实施ISO27001,我有一个关于风险评估文档的问题。我们选择EBIOS作为我们的风险评估方法,我在ISO 27001上下文和EBIOS上下文中发现了一些强制性文档的模板,它们之间有很大的不同。
浏览 0提问于2017-03-21得票数 1
回答已采纳
1回答
如何利用历史事件进行风险评估。例如,我知道您可以查看过去x个月的恶意软件感染情况,以便更好地估计恶意软件感染的可能性和影响(尽管您实际上不能完全依赖它,因为仍然存在不确定性)。我想知道是否有更多的类别或例子,历史事件被用来进行更有效的风险评估?
浏览 0提问于2015-03-19得票数 2
回答已采纳
1回答
我很难理解他们的意思,因为在OWASP站点中,他们只是定义了需求,但没有给出任何示例说明这是如何工作的,以及如何以正确的方式实现。
是否有人对此要求有很好的洞察力或参考?
浏览 0提问于2023-03-10得票数 1
回答已采纳
3回答
我们如何量化密码聚合和方便之间的权衡?
密码管理器(如lastpass )非常方便,但是将密码聚合到公共存储中可能会降低安全性。我们如何评估方便和安全之间的权衡?密码聚合带来的风险有多大?我们如何比较方便和风险。
浏览 0提问于2013-03-13得票数 17
回答已采纳
1回答
在我们的小组织中没有人是,但我们需要进行一些评估。如何评估B2B集成?似乎在像NIST或ISO这样的风险评估框架与集成的技术和非技术元素之间存在差距。
浏览 0提问于2017-03-06得票数 1
我们每个人都有第三方服务的API密钥,我的web应用程序需要访问这些服务,这样它就可以调用第三方服务API,并返回我们希望一起评估的数据。如果我走这条路,主要的安全风险是什么?我是否应该考虑在我的web服务器磁盘上加密这些API密钥,并且只在我需要使用它们时才在我的web应用程序中解密它们?(如果有的话,对此有何指导?)我已经做了很长一段时间的标准web开发,但我对网络安全的知识非常缺乏。我很感激你的指导和想法!
浏览 0提问于2018-02-11得票数 4
1回答
脆弱性管理101
、、
据我所知,漏洞管理过程可以分为四个步骤(不提它与补丁、更改、风险管理的密切关系):评估脆弱性报告脆弱性
漏洞扫描器评分/风险等级及其如何与您的org.、完整性和可用性,数据,它将如何影响您的业务,您的组织的风险管理策略是什么和许多其他。我想这是过程中的第二步,漏洞评估。在探讨这个话题时,我听到了这样的声音:“你的脆弱性管理需要风险驱动,这样你就可以做出明智的决定”,或者“你的脆弱性管理需要由威胁--智能驱动,来学习和预
浏览 0提问于2021-03-01得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
