是否有一份通用的IT风险清单可用作编写IT风险评估报告的参考？

Question

我正在进行我的第一次IT风险评估任务，尽管我已经完成了所需的步骤并了解了我正在开发的系统，但我想知道是否有一个与不同IT系统相关联的通用IT风险列表。这是因为他开始的每一次评估都不需要从头开始。鉴于IT风险评估已经进行了很长一段时间，因此，现在必须有一个由某人编制的列表才能作为参考，这是合乎逻辑的。例如，如果我正在处理客户端服务器类型的应用程序评估，我可以引用与客户端和服务器相关的所有风险。

搜索谷歌并没有得到我感兴趣的任何结果，但我可能搜索错了术语。如果有人能向我推荐这样的资源，我将不胜感激。

谢谢。

Answer 1

BSI的试一试 这些指南几乎全面地概述了公司在以任何方式运行它时可以做什么/必须做什么。

然后您可能需要检查SANS阅览室和NIST；我知道它们发布了以下内容：

• 信息安全测试和评估技术指南
• 小企业信息安全:基础
• 通用服务器安全指南

很多mor，但找不到任何参考，atm (和他们的网站是垃圾:)

Answer 2

正如你所怀疑的，这是一个术语问题。您可能正在寻找漏洞列表，但为了安全起见，我想再解释一下。

恐怕整件事都很复杂，但最终还是值得的！

在开始之前，我应该指出，有许多不同的信息安全方法可能有自己的术语(我自己就是一个ISO 27000人)。因此，其他答案可能会使用不同的措辞。

所以，你有你正在做的系统，你想保护它不受伤害--这就是信息安全，系统地保护信息不受伤害。

要想发生伤害，必须有两件事。“威胁”是指会造成伤害(无论是故意的还是偶然的)的人，而“脆弱性”是威胁可以造成伤害的一种方式。

两个例子:您的竞争对手(“威胁”)通过SQL注入(“漏洞”)访问您的系统，以便窃取您的客户列表(“危害”--特别是“机密性丢失”)。

运输中的Joe (“威胁”)无法理解您的系统是如何工作的(“漏洞”)，并且总是为小部件曲柄设置输入错误的值。(“损害”-特别是“丧失完整性”)。

您可以在网上找到威胁列表和漏洞列表。

威胁往往更容易找出自己-谁会现实地想要伤害你的系统？谁会不小心伤害你的系统？

所以大多数情况下你会发现一系列的漏洞。OWASP前十位是一个很好的起点。

那么，风险从何而来？风险是一种衡量方法，它将威胁利用漏洞的可能性与如果存在的话会造成的危害结合起来。

风险评估用于确定哪些威胁和脆弱性组合的风险高于您想要接受的风险，因此您知道您需要“治疗”它们--对它们采取一些措施。

例如，如果您的竞争对手都是诚实的，而且您正在小心地处理SQL输入，而且每个人都知道您的客户是谁，那么示例中的风险非常低，因此不值得担心。(嗯，至少不值得在上面花钱。)

或者，如果Joe是粗心的，错误的小部件曲柄设置会使您的产品着火，那么风险就很高，您需要尽快对示例2做些什么。

不过，事情是这样的--每个风险评估都是非常独特的，因为你面临的威胁和弱点是一个独特的组合。像OWASP列表这样的东西不是捷径。它更多的是一个清单，你应该检查，以确保你没有错过其中任何一个。

Answer 3

如果你在一个中等到大型的组织工作，那么我对ISF的良好实践标准(https://www.securityforum.org/)有相当多的运气。ISF SoGP提供了一个“控制框架”，通过该框架，您可以测量和评估您的组织和SoGP跟踪到相关的ISO、COBIT等标准。

询问“IT风险列表”的困难在于，您的组织所面临的威胁将与我的完全不同。因此，我的答案是建议，看看你有哪些控制措施，以及你的组织面临的风险在哪些地方没有控制措施。