1. tài sản xác định, nơi mà các tài sản hệ thống có thể yêu cầu bảo vệ được xác định. Hệ thống chính nó hoặc chức năng cụ thể hệ thống có thể được xác định là tài sản cũng như các dữ liệu liên kết với hệ thống (rủi ro xác định).2. tài sản giá trị đánh giá, nơi bạn có thể ước tính giá trị của tài sản được xác định (phân tích rủi ro).3. tiếp xúc đánh giá, nơi bạn có thể đánh giá thiệt hại tiềm năng liên quan đến từng tài sản. Điều này nên đưa vào tài khoản thiệt hại trực tiếp chẳng hạn như trộm cắp thông tin, các chi phí phục hồi, và có thể mất uy tín (phân tích rủi ro).4. mối đe dọa xác định, nơi mà bạn xác định những mối đe dọa hệ thống tài sản (phân tích rủi ro).5. tấn công đánh giá, nơi bạn có phân hủy mỗi mối đe dọa vào cuộc tấn công có thể được thực hiện trên hệ thống và những cách có thể các cuộc tấn công có thể xảy ra. Bạn có thể sử dụng tấn công cây (Schneier, 1999) để phân tích các cuộc tấn công có thể. Đây là tương tự như lỗi cây như bạn bắt đầu với một mối đe dọa ở gốc cây và xác định các cuộc tấn công có thể có quan hệ nhân quả và làm thế nào chúng có thể được thực hiện (nguy cơ phân hủy).6. kiểm soát xác định, nơi mà bạn đề nghị các điều khiển có thể được đưa ra để bảo vệ một tài sản. Điều khiển là các cơ chế kỹ thuật, chẳng hạn như mã hóa, bạn có thể sử dụng để bảo vệ tài sản (nguy cơ giảm).7. khả năng đánh giá, nơi mà bạn đánh giá tính khả thi kỹ thuật và các chi phí của các điều khiển được đề xuất. Nó không phải là giá trị có thể điều khiển đắt tiền để bảo vệ tài sản mà không có một giá trị cao (nguy cơ giảm).
đang được dịch, vui lòng đợi..