Professional Documents
Culture Documents
Chapter 4FFF
Chapter 4FFF
430603
By
Associate Prof. Adnan Al-Helali
Risk Management:
Controlling Risk
:إدارة المخاطر
السيطرة على المخاطر
Risk Control Strategiesاستراتيجيات التحكم بالمخاطر
Choose basic risk control strategy :
A- Unacceptable the Risk:
• Avoidance: applying safeguards that eliminate or reduce the
remaining uncontrolled risks for the vulnerability
• Transference: shifting the risk to other areas or to outside
entities
• Mitigation: reducing the impact should the vulnerability be
exploited
B- Acceptance: understanding the consequences and accept the
risk without control or mitigation
:اختر اإلستراتيجية األساسية للتحكم في المخاطر
تطبيق الحمايات التي تقضي أو تقلل من المخاطر المتبقية غير المسيطر عليها و للسيطرة الضعف:التجنب •
تحويل المخاطر إلى مناطق أخرى أو إلى كيانات خارجية:التحويل •
تقليل التأثير في حالة استغالل الضعف:التخفيف •
. فهم العواقب وقبول المخاطر دون رقابة أو تخفيف:القبول •
1. Avoidance
• Avoidance: Attempts to prevent the exploitation of the vulnerability
• Accomplished through:
1. Application of policy
2. Application of training and education
3. Countering threats
4. Implementation of technical security controls and safeguards
محاوالت لمنع استغالل الضعف:التجنب
:يتم تنفيذها من خالل
تطبيق السياسة.5
تطبيق التدريب والتعليم.6
مواجهة التهديدات.7
تنفيذ الضوابط والضمانات األمنية الفنية.8
3. Transference التحويل
Transference: Attempts to shift the risk to other assets, other processes, or other
organizations
May be accomplished by:
1. Rethinking how services are offered
2. Revising deployment models
3. Outsourcing to other organizations
4. Purchasing insurance
5. Implementing service contracts with providers
محاوالت لتحويل المخاطر إلى أصول أخرى أو عمليات أخرى أو مؤسسات أخرى:التحويل
:يمكن تحقيقه من خالل
إعادة التفكير في كيفية تقديم الخدمات.6
مراجعة نماذج النشر.7
االستعانة بمصادر خارجية لمؤسسات أخرى.8
تأمين المشتريات.9
تنفيذ عقود الخدمة مع مقدمي الخدمة.10
3. Mitigation التخفيف
Mitigation: Attempts to reduce the damage caused by the exploitation of
vulnerability) by means of planning and preparation(,
• Includes three types of plans:
1. Disaster recovery plan (DRP)
2. Incident response plan (IRP)
3. Business continuity plan (BCP)
• Depends upon the ability to detect and respond to an attack as quickly as
possible.
) محاوالت للحد من الضرر الناجم عن استغالل الضعف ( عن طريق التخطيط واإلعداد:التخفيف
:• يشمل ثالثة أنواع من الخطط
))DRP خطة التعافي من الكوارث.1
))IRP خطة االستجابة للحوادث.2
)BCP( خطة استمرارية األعمال.3
• يعتمد على القدرة على اكتشاف الهجوم واالستجابة له بأسرع ما يمكن
4. Acceptanceالقبول
Acceptance: understanding the consequences and
accept the risk without control or mitigation
فهم العواقب وقبول المخاطر دون رقابة أو تخفيف:القبول
Risk Control Strategy Selection
اختيار استراتيجية التحكم في المخاطر
Risk control involves :
1- Unacceptable of risk: selecting one of the four risk control strategies for the
vulnerabilities present within the organization
2- Acceptance of risk
• If the loss is within the range of losses the organization can absorb, or
• if the attacker’s gain is less than expected costs of the attack,
3- Otherwise, one of the other control strategies will have to be selected
:تتضمن السيطرة على المخاطر ما يلي
اختيار واحدة من أربع استراتيجيات للتحكم في المخاطر لنقاط الضعف الموجودة داخل المؤسسة-1
قبول المخاطرة-2
، • إذا كانت الخسارة ضمن نطاق الخسائر التي يمكن للمؤسسة استيعابها
، • أوإذا كان ربح المهاجم أقل من التكاليف المصروفة على الهجوم
يجب تحديد إحدى استراتيجيات التحكم األخرى، خالف ذلك-3
Risk Handling Action Pointsنقاط عمل للتعامل مع الخطر
The Risk Control Cycle دورة التحكم في المخاطر
Feasibility Studies and Cost Benefit Analysis (CBA)
دراسات الجدوى وتحليل التكلفة والمزايا
1. Before deciding on the strategy for a specific vulnerability, you
must be discovered information about the consequences of the
vulnerability.
2. Determine advantage or disadvantage of a specific control
• These based on the value of information assets that control is
designed to protect
يجب أن يتم، قبل اتخاذ قرار بشأن اإلستراتيجية الخاصة بالثغرة األمنية المحددة.1
.استكشاف معلومات حول عواقب الثغرة األمنية
تحديد ميزة أو عيب عنصر تحكم معين.2
• هذه تستند على قيمة أصول المعلومات التي يتم التحكم فيها من أجل الحماية
Cost Benefit Analysis (CBA) تحليل التكلفة والمزايا
Economic Feasibility الجدوى االقتصادية
• criterion most commonly used when evaluating a project that implements
information security controls and safeguards
• المعيار األكثر استخداًم ا عند تقييم مشروع يطبق ضوابط وضمانات أمن المعلومات
Should begin a CBA by evaluating
• Worth of the information assets to be protected
• Loss in value if those information assets are compromised
يجب أن يبدأ تحليل التكلفة والمزيا بالتقييم
تقييم هل تستحق حماية أصول المعلومات •
تقييم الخسارة في القيمة إذا تم اختراق أصول المعلومات هذه •
Risk assessment
Examines asset values, threat
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
levels, and total cost of
compromise versus the value of
the resource and the cost of the
protection
تقييم المخاطر
يفحص القيم لالصل ومستويات التهديد والتكلفة
اإلجمالية للخرق مقابل قيم المورد وتكلفة
.الحماية
Risk Assessment and Management
(Cont.)
1- Determine the overall value of the resource or asset. Known as the asset value (AV), this
calculation should include both tangible and intangible costs and value.
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
يجب أن يتضمن هذا الحساب التكاليف والقيمة، AV المعروف باسم قيمة األصول. أحسب القيمة اإلجمالية للمورد أو األصل- 1
.المادية (الملموسة )وغير الملموسة
2- Determine the threats that the asset faces. For each threat, calculate the Exposure Factor
(EF), or the amount of potential harm expressed as a percentage. This will create a list of
asset–threat pairs with a corresponding EF.
أو مقدار الضرر المحتمل معبرا عنه كنسبة، EF احسب عامل التعرض، لكل تهديد. أحسب التهديدات التي يواجهها األصل- 2
. المقابلEF التهديدات مع- سيؤدي هذا إلى إنشاء قائمة بأزواج األصول.مئوية
3- Calculate the Single Loss Expectancy (SLE): SLE = AV × EF. This is the amount of potential
loss that could be experienced due to a single occurrence of compromise against this asset for
a specific threat. This will add an SLE value to each asset–threat pair.
هذا هو مقدار الخسارة المحتملة التي يمكن أن تحدث بسبب حدوثSLE : SLE = AV × EF أحسب توقع الخسارة الفردية-3
.التهديدات- إلى كل زوج من األصولSLE سيؤدي ذلك إلى إضافة قيمة.تهديد واحد ضد هذا األصل وهولتهديد معين
Risk Assessment and Management
(Cont.)
4. For each threat, calculate the potential number of times the threat could be a realized
attack within a year’s time. This is known as the Annualized Rate of Occurrence (ARO).
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
يعرف هذا باسم معدل. احسب العدد المحتمل للمرات التي يمكن أن يكون فيها التهديد هجوما محققا في غضون عام، لكل تهديد- 4
.ARO الحدوث السنوي
5. Calculate the Annualized Loss Expectancy (ALE): ALE = SLE × ARO. This is the amount of
potential loss that can be experienced due to any compromise of this asset for a specific threat
within a year. This will add an ALE value to each asset–threat pair.
هذا هو مقدار الخسارة المحتملة التي يمكن أن تحدث بسبب أيALE : (ALE = SLE × ARO( احسب الخسارة السنوية المتوقعة-5
. إلى كل زوج من األصول والتهديداتALE سيؤدي ذلك إلى إضافة قيمة.اختراق لهذا األصل لتهديد معين في غضون عام
6. Sort the list of asset–threat pairs by ALE. The highest ALE is the biggest risk for this specific
asset/resource.
المورد المحدد/ هو أكبر خطر لهذا األصلALE أعلىALE قم بفرز قائمة أزواج األصول والتهديدات حسب- 6
7. Take the asset–threat pair with the largest ALE and determine the possible countermeasures
that could be used to protect against that threat. This creates asset–threat–countermeasure
triplets.
هذا. وحدد اإلجراءات المضادة المحتملة التي يمكن استخدامها للحماية من هذا التهديدALE خذ زوج األصول والتهديد مع أكبر-7
.يخلق ثالثة توائم من األصول والتهديدات والتدابير المضادة
Risk Assessment and Management
(Cont.)
8. For each (Asset–Threat–Countermeasure) triplet, calculate a new ARO. The
countermeasure should reduce the ARO. A perfect countermeasure would reduce the ARO to
zero—but there are few perfect countermeasures.
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
من شأنARO. يجب أن يقلل اإلجراء المضاد من. جديداARO احسب، ) اإلجراء المضاد- التهديد- لكل ثالثي (األصول-8
. ولكن هناك القليل من اإلجراءات المضادة المثالية- إلى الصفرARO اإلجراء المضاد المثالي أن يقلل
9. With the new ARO, calculate a new ALE for each triplet.
. تكلفة اإلجراء المضاد في السنة- ) الجديدALE - األصليALE( = الصيغة هي. الفائدة/ قم بإجراء تحليل التكلفة، لكل ثالثي- 10
التكلفة النهائية = (الكلفة اللي تم توفيرها من االجراء المضاد ) – تكلفة االجراء المتخذ أي المضاد
11. Sort the asset–threat–countermeasure triplets by their potential cost/benefit. The triplet
with the greatest cost/benefit is the best choice.
الفائدة األكبر/ الثالثي ذو التكلفة. الفائدة المحتملة/ قم بفرز ثالثة توائم من األصول والتهديدات والتدابير المضادة حسب التكلفة- 11
هو الخيار األفضل
Flow Chart of Risk Assessment and
Management
For each For each For each
For each
(asset–threat): (asset–threat): (asset–threat):
Calculate (asset–
Calculate Calculate the
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
threat): Calculate
Asset Value the Single Loss Annualized Loss
Calculate Annualized Rate
(AV) the Exposure Expectancy of Occurrence Expectancy (ALE)
(SLE) (ARO) ALE = SLE × ARO
Factor (EF) %
SLE = AV × EF
for each triplet:
perform a
. for All cost/benefit
(asset– analysis: for each triplet for each triplet For All
threat– (Original ALE – (asset–threat– (asset–threat– (asset–threat):
countermeas New ALE) countermeasure): countermeasure): Sort the list of
ure): cost/benefit of the calculate a new calculate a new (asset–threat )
Sort the list countermeasure / ALE ARO pairs by ALE
of triplets year.
Other Feasibility Approaches
مناهج الجدوى األخرى
Organizational feasibility analysis : examines how well the proposed information security
alternatives will contribute to operation of an organization
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
management acceptance and support, and overall requirements of organization’s
stakeholders
Technical feasibility analysis: examines whether or not the organization has or can
acquire the technology to implement and support the alternatives
Political feasibility analysis: defines what can and cannot occur based on the consensus
and relationships between the communities of interest
يفحص مدى مساهمة بدائل أمن المعلومات المقترحة في تشغيل المنظمة: تحليل الجدوى التنظيمية
والمتطلب‡ات العام‡ة ألص‡حاب، وقب‡ول اإلدارة ودعمه‡ا، يع‡الج قب‡ول المس‡تخدم ودعم‡ه: تحلي‡ل الج‡دوى التش‡غيلية
المصلحة في المنظمة
ي‡درس م‡ا إذا ك‡انت المنظم‡ة تمتل‡ك أو يمكنه‡ا الحص‡ول على التكنولوجي‡ا الالزم‡ة لتنفي‡ذ الب‡دائل:ةCدوى الفنيCل الجC تحلي
ودعمها
يحدد ما يمكن وما ال يمكن أن يحدث بناًء على اإلجماع والعالقات بين المجتمعات المعنية: تحليل الجدوى السياسية
Alternative to CBA: Benchmarking
المرجعية
Benchmarking:
Seeking out and studying practices of other organizations that produce desired
results
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Measuring differences between how organizations conduct business
When benchmarking, an organization typically uses one of two measures to
compare practices:
Metrics-based measures
- comparisons based on numerical standards
Process-based measures
- generally less focused on numbers and are more strategic
: المرجعية
البحث عن ودراسة أعمال وممارسات المؤسسات األخرى التي تحقق النتائج المرجوة
قياس الفروق بين كيفية إدارة المؤسسات لألعمال
: تستخدم المؤسسة عادًة أحد المقياسين لمقارنة ممارسات المؤسسة، عند المقارنة المعيارية
القياس المستند الى وحدات القياس
وهي مقارنات على أساس المعايير العددية-
القياس المستند إلى العمليات
بشكل عام انها أقل تركيًز ا على األرقام وأكثر على االستراتيجية-
Benchmarking (Continued)
In the field of information security, two categories of benchmarks
are used:
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Standards of due care and due diligence, and Best practices
Best practices,
the gold standard is a subcategory of practices that are typically
viewed as “the best of the best”
: يتم استخدام فئتين من المعايير، في مجال أمن المعلومات
وأفضل الممارسات، معايير العناية الواجبة والعناية الواجبة
،أفضل الممارسات
المعيار الذهبي هو فئة فرعية من الممارسات التي ُينظر إليها عادًة على أنها "األفضل على
"اإلطالق
Applying Best Practices
تطبيق أفضل الممارسات
Address the following questions:
Does your organization resemble the organization that is implementing the best
practice under consideration?
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Is your organization in a similar industry?
Does your organization face similar challenges?
Is your organizational structure similar to the organization from which you are
modeling the best practices?
Can your organization expend resources that are in line with the requirements of the
best practice?
Is your organization in a similar threat environment as the one cited in the best
practice?
:تناول األسئلة التالية
هل تشبه مؤسستك المؤسسة التي تطبق أفضل الممارسات قيد النظر؟
هل مؤسستك تعمل في صناعة مماثلة؟
هل تواجه مؤسستك تحديات مماثلة؟
هل الهيكل التنظيمي الخاص بك مشابه للمنظمة منالذي كنت نمذجة أفضل الممارسات؟
هل يمكن لمؤسستك إنفاق الموارد التي تتماشى معمتطلبات أفضل الممارسات؟
هل تواجه مؤسستك بيئة تهديد مماثلة لتلك التي تواجهها؟
المذكورة في أفضل الممارسات؟
Problems with Benchmarking and Best Practices
مشاكل في المقارنة المعيارية وأفضل الممارسات
Organizations don’t talk to each other
No two organizations are identical
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Best practices are a moving target
Simply knowing what was going on a few years ago does not
necessarily indicate what to do next
المؤسسات ال تتحدث مع بعضها البعض
ال توجد منظمتان متطابقتان
أفضل الممارسات هي هدف متحرك
إن مجرد معرفة ما كان يحدث قبل بضع سنوات ال يشير بالضرورة إلى ما يجب فعله بعد ذلك
Risk Appetiteالرغبة في المخاطرة
Risk appetite defines the quantity and nature of risk that
organizations are willing to accept, as they evaluate the trade-offs
between perfect security and unlimited accessibility.
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Reasoned approach to risk is one that balances expense
against possible losses if exploited.
حيث، تعرف الرغبة في المخاطرة كمية وطبيعة المخاطر التي ترغب المؤسسات في قبولها
.تقوم بتقييم المفاضالت بين األمان المثالي وإمكانية الوصول غير المحدودة
النهج المنطقي للمخاطر هو النهج الذي يوازن بين النفقات والخسائر المحتملة في حالة
استغاللها
Residual Riskالمخاطر المتبقية
When vulnerabilities have been controlled as much as possible,
there is often remaining risk that has not been completely
accounted for residual risk
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
غالًبا ما تكون هناك مخاطر متبقية لم يتم، عندما تتم السيطرة على نقاط الضعف قدر اإلمكان
أخذها في االعتبار بشكل كامل كمخاطر متبقية
Residual Risk: المخاطر المتبقية
Risk from a threat less the effect of threat-reducing safeguards plus
المخاطر الناجمة عن التهديد مطروًح ا منها تأثير ضمانات الحد من التهديد باإلضافة إلى ذلك
المخاطر الناجمة عن الضعف أقل من تأثير الضمانات التي تقلل من الضعف باإلضافة إلى
المخاطر التي تتعرض لها األصول ناقًص ا تأثير ضمانات خفض قيمة األصول
Residual Risk
The significance of residual risk must be judged within the context
of an organization’s risk appetite
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
The goal of information security is not to bring residual risk to zero,
but to bring it in line with an organization’s risk appetite
ويجب الحكم على أهمية المخاطر المتبقية في سياق مدى تقبل المنظمة للمخاطر
ولكن جعلها تتماشى مع، الهدف من أمن المعلومات ليس خفض المخاطر المتبقية إلى الصفر
.رغبة المنظمة في المخاطرة
Documenting Resultsتوثيق النتائج
When risk management program has been completed,
Series of proposed controls are prepared
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Each justified by one or more feasibility or rationalization approaches
يجب أن يكون لكل زوج من أصول المعلومات المهددة استراتيجية تحكم موثقة، على األقل
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
An organization could determine that it cannot put specific numbers
on these values
Organizations could use qualitative assessments instead, using
scales instead of specific estimates
يقوم التقييم الكمي بتقييم األصول بالقيم أو التقديرات الفعلية
يمكن للمؤسسة أن تقرر أنها ال تستطيع وضع أرقام محددة على هذه القيم
باستخدام المقاييس بدًال من التقديرات، يمكن للمؤسسات استخدام التقييمات النوعية بدًال من ذلك
المحددة
Delphi Approach
A group rates and ranks assets
The individual responses are compiled and sent back to the group
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Reevaluate and redo the rating/ranking
Iterate till agreements reached
تقوم المجموعة بتصنيف األصول
يتم تجميع اإلجابات الفردية وإرسالها مرة أخرى إلى المجموعة
إعادة تقييم وإعادة التصنيف
كرر حتى يتم التوصل إلى االتفاقات
The OCTAVE Method
Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVESM)
Method:
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
directed information security risk evaluation
. يحدد المكونات األساسية لتقييم مخاطر أمن المعلومات الشامل والمنهجي والموجه ذاتًيا
الس‡رية: يمكن للمؤسس‡ة اتخ‡اذ ق‡رارات حماي‡ة المعلوم‡ات بن‡اًء على المخ‡اطر ال‡تي ته‡دد،OCTAVE من خالل اتب‡اع طريق‡ة
والنزاهة وتوافر أصول تكنولوجيا المعلومات الهامة
Three variations of the OCTAVE Method: OCTAVE ثالثة أشكال مختلفة من طرق
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Assessing risk
Conducting decision support
Implementing controls
Measuring program effectiveness
أن إدارة المخاطر ليست موضوًعا قائًما بذاتهMicrosoft تؤكد
يجب أن يكون جزًءا من برنامج الحوكمة العامة
: على أربع مراحلMicrosoft RM تتم عملية
تقييم المخاطرة
إجراء دعم القرار
تنفيذ الضوابط
قياس فعالية البرنامج
FAIRتحليل العامل لمخاطر المعلومات
Factor Analysis of Information Risk (FAIR) (by Jack A. Jones)
The FAIR framework includes:
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
A taxonomy for information risk
Standard nomenclature for information risk terms
A framework for establishing data collection criteria
Measurement scales for risk factors
A computational engine for calculating risk
A modeling construct for analyzing complex risk scenarios
: ما يليFAIR يتضمن إطار
تصنيف مخاطر المعلومات
التسميات القياسية لمصطلحات مخاطر المعلومات
إطار عمل لوضع معايير جمع البيانات
مقاييس قياس عوامل الخطر
محرك حسابي لحساب المخاطر
بناء نموذجي لتحليل سيناريوهات المخاطر المعقدة
FAIR
FAIR analysis comprises 10 steps in four stages:
Stage 1-Identify Scenario Components
Identify the asset at risk
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Identify the threat community under consideration
Stage 2-Evaluate Loss Event Frequency (LEF)
Estimate the probable Threat Event Frequency (TEF)
Estimate the Threat Capability (TCap)
Estimate the Control Strength (CS)
Derive Vulnerability (Vuln)
Derive Loss Event Frequency (LEF)
: خطوات في أربع مراحل10 منFAIR يتكون تحليل
تحديد مكونات السيناريو:المرحلة األولى
تحديد األصول المعرضة للخطر
تحديد مجتمع التهديد قيد النظر
LEF تقييم تكرار حدث الخسارة-2 المرحلة
TEF تقدير تكرار حدث التهديد المحتمل
CS تقدير قدرة التهديد
Vuln أشتقاق الثغرة األمنية
LEF أشتقاق تكرار حدث الخسارة
FAIR
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Estimate the worst-case loss
Estimate probably loss
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
ISO 27005 Includes a five-stage risk management methodology:
Risk assessment
Risk treatment
Risk acceptance
Risk communication
Risk monitoring and review
: معياًر ا ألداء إدارة المخاطرISO 27000 تتضمن سلسلة
:يتضمن منهجية إدارة المخاطر المكونة من خمس مراحلISO 27005
تقييم المخاطر
معالجة المخاطر
قبول المخاطر
اإلبالغ عن المخاطر
مراقبة المخاطر ومراجعتها
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
NIST Risk Management Model
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
use:
European Network and Information Security Agency (ENISA)
- ranks 12 tools using 22 different attributes
New Zealand’s IsecT Ltd - a Web site that describes a large
number of risk management methods
هناك منظمتان تقارنان األساليب وتقدمان توصيات ألدوات إدارة المخاطر التي يمكن للجمهور
:استخدامها
ENISA الوكالة األوروبية ألمن الشبكات والمعلومات
سمة مختلفة22 أداة باستخدام12 تصنف-
موقع ويب يصف عدًد ا كبيًر ا من أساليب إدارة المخاطر- النيوزيلنديةIsecT Ltd شركة
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
ENISA risk management process
Summary
Introduction
Copyright © 2022 by Jones & Bartlett Learning, LLC an Ascend Learning Company. www.jblearning.com
Risk Control Strategies
Risk Control Strategy Selection
Categories of Controls
Feasibility Studies and Cost-Benefit Analysis
Risk Management Discussion Points
Recommended Risk Control Practices
The OCTAVE and other Methods