风险处置有什么方法

风险处置目的是为风险管理过程中对不同风险的直观比较，以确定***安全策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。

1、风险接受：接受潜在的风险并继续运行信息系统，不对风险进行处理。

2、风险降低：通过实现安全措施来降低风险，从而将脆弱性被威胁源利用后可能带来的不利影响降低。

3、风险规避：不介入风险，通过消除风险的原因和/或后果来规避风险。

4、风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买***。

风险评估中脆弱性有哪些分类

一、技术脆弱性

1、物理环境

从机房场地、机房防火、机房供配电、机房房防静电、机房接地与防雷、电磁防、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。

2、网络结构 

从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。

3、系统软件

从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别。

4、应用中间件

从协议安全、交易完整性、数据完整性等方面进行识别。

5、应用系统

从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密保保护等方面进行识别。

二、管理脆弱性

1、技术管理

从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。

2、***管理

从安全策略、***安全、资产分类与控制、人员安全、符合性等方面进行识别。

网络安全风险评估

网络安全所面临的问题？

1、对现阶段安全建设效果不明确；

2、对现阶段的安全缺陷及隐患不明确；

3、对后期安全建设没有方向。

风险评估能够做什么？

1、已有控制措施识别及效力测试；

2、资产、威胁、脆弱性关联分析；

3、根据评估结果设计建设方案。

风险评估能够带来什么？

1、安全防护能力评估结果；

2、风险评估报告；

3、安全建设方案。