- ข้อความ
- ประวัติศาสตร์
4.0 BUSINESS IMPACT AND INFORMATION
4.0 BUSINESS IMPACT AND INFORMATION RISK ASSESSMENTS
4.1 Identification of Information Assets
The first step in assessing the business impact and risk of an IT system is to determine the scope of the effort. The boundaries of the IT system is identified along with the resources and information that make up the system. This identification of information assets establish the scope of the risk assessment effort, delineates the operational authorization boundaries, and provides information essential to defining the risk.
This exercise can be carried out via questionnaire, on-site interviews, document review or use of automated scanning tool. Information gathering can be conducted throughout the risk assessment process.
4.2 Establish requirements for Business Continuity & Recovery
The requirements of Business Continuity & Recovery is to prepare for and cope with unplanned events that will have significant impact on its operations and commitment to customers.
The pre-defined procedures documented herein must not be interpreted as the only course of action because disaster comes in various forms, complexity and severity. The possible combinations of events happening after a disaster cannot be entirely anticipated. Situations not described in the BCP are to be executed using common sense by improvising beyond the documented BCP.
A single framework or methodology for IT disaster recovery planning must be maintained to ensure that all plans are consistent, and to identify priorities for testing and maintenance. The IT disaster recovery planning framework must include the following: -
• IT emergency procedures: Emergency procedures which describe the actions to be taken following an incident.
• IT fallback procedures: Fallback procedures which describe the actions to be taken to move important activities or support services to alternative temporary locations and to bring business processes back into operation in the required time scales.
• IT resumption procedures: Resumption procedures which describe the actions to be taken to return to normal business operations.
• IT recovery test schedule: Maintenance schedule which specifies how and when the plan will be tested, and the process for maintaining the plan.
• Awareness and training activities which are designed to create understanding of the business continuity processes and ensure that the processes continue to be effective.
• List responsibilities of individuals, describing who is responsible for executing which component of the plan. Alternatives must be nominated as required.
Each plan must have a specific owner. Emergency procedures, manual fallback plans and resumption plans must be within the responsibility of the Owners of the appropriate resources or processes involved. Fallback arrangements for alternative technical services, such as information processing facilities must also be in place.
4.3 Identification Threat and Vulnerabilities
A threat is the potential for a particular threat-source to successfully exercise a particular vulnerability. Vulnerability is a weakness that can be accidentally triggered or intentionally exploited. A threat-source does not present a risk when there is no vulnerability that can be exercised. In determining the likelihood of a threat, one must consider threat-sources, potential vulnerabilities and existing controls.
A threat-source is defined as any circumstance or event with potential to cause harm to an IT system. The common threat-source can be human or environmental.
The analysis of the threat to an IT system must include an analysis of the vulnerabilities associated with the system environment. The goal of this is to develop a list of system vulnerabilities (flaws or weakness) that could be exploited by the potential threat-source. The following is the references used by GHL as a source of vulnerability information.
References:
1. https://cve.mitre.org/cve/index.html
2. http://www.securityfocus.com/
3. https://www.cvedetails.com/
4.4 Determining the likelihood of the threats
The determination of risk for a particular threat/vulnerability pair is:
• the likelihood of a given threat-source’s attempt to exercise a given vulnerability
• the magnitude of the impact should the threat-source successfully exercise the vulnerability
• the adequacy of planned or existing security controls for reducing or eliminating the risk.
The risk scale of Low, Medium and High, represents the degree or level of risk to which an IT system, facility, or procedure might be exposed if a given vulnerability were exercised. The risk scale also presents actions that senior management, the mission owners, must take for each risk level. This is represented by the table below
Risk Scale Risk Description and Necessary Actions
High If an observation or finding is evaluated as a high risk, there is a strong need for corrective measures. An existing system may continue to operate, but a corrective action
4.1 Identification of Information Assets
The first step in assessing the business impact and risk of an IT system is to determine the scope of the effort. The boundaries of the IT system is identified along with the resources and information that make up the system. This identification of information assets establish the scope of the risk assessment effort, delineates the operational authorization boundaries, and provides information essential to defining the risk.
This exercise can be carried out via questionnaire, on-site interviews, document review or use of automated scanning tool. Information gathering can be conducted throughout the risk assessment process.
4.2 Establish requirements for Business Continuity & Recovery
The requirements of Business Continuity & Recovery is to prepare for and cope with unplanned events that will have significant impact on its operations and commitment to customers.
The pre-defined procedures documented herein must not be interpreted as the only course of action because disaster comes in various forms, complexity and severity. The possible combinations of events happening after a disaster cannot be entirely anticipated. Situations not described in the BCP are to be executed using common sense by improvising beyond the documented BCP.
A single framework or methodology for IT disaster recovery planning must be maintained to ensure that all plans are consistent, and to identify priorities for testing and maintenance. The IT disaster recovery planning framework must include the following: -
• IT emergency procedures: Emergency procedures which describe the actions to be taken following an incident.
• IT fallback procedures: Fallback procedures which describe the actions to be taken to move important activities or support services to alternative temporary locations and to bring business processes back into operation in the required time scales.
• IT resumption procedures: Resumption procedures which describe the actions to be taken to return to normal business operations.
• IT recovery test schedule: Maintenance schedule which specifies how and when the plan will be tested, and the process for maintaining the plan.
• Awareness and training activities which are designed to create understanding of the business continuity processes and ensure that the processes continue to be effective.
• List responsibilities of individuals, describing who is responsible for executing which component of the plan. Alternatives must be nominated as required.
Each plan must have a specific owner. Emergency procedures, manual fallback plans and resumption plans must be within the responsibility of the Owners of the appropriate resources or processes involved. Fallback arrangements for alternative technical services, such as information processing facilities must also be in place.
4.3 Identification Threat and Vulnerabilities
A threat is the potential for a particular threat-source to successfully exercise a particular vulnerability. Vulnerability is a weakness that can be accidentally triggered or intentionally exploited. A threat-source does not present a risk when there is no vulnerability that can be exercised. In determining the likelihood of a threat, one must consider threat-sources, potential vulnerabilities and existing controls.
A threat-source is defined as any circumstance or event with potential to cause harm to an IT system. The common threat-source can be human or environmental.
The analysis of the threat to an IT system must include an analysis of the vulnerabilities associated with the system environment. The goal of this is to develop a list of system vulnerabilities (flaws or weakness) that could be exploited by the potential threat-source. The following is the references used by GHL as a source of vulnerability information.
References:
1. https://cve.mitre.org/cve/index.html
2. http://www.securityfocus.com/
3. https://www.cvedetails.com/
4.4 Determining the likelihood of the threats
The determination of risk for a particular threat/vulnerability pair is:
• the likelihood of a given threat-source’s attempt to exercise a given vulnerability
• the magnitude of the impact should the threat-source successfully exercise the vulnerability
• the adequacy of planned or existing security controls for reducing or eliminating the risk.
The risk scale of Low, Medium and High, represents the degree or level of risk to which an IT system, facility, or procedure might be exposed if a given vulnerability were exercised. The risk scale also presents actions that senior management, the mission owners, must take for each risk level. This is represented by the table below
Risk Scale Risk Description and Necessary Actions
High If an observation or finding is evaluated as a high risk, there is a strong need for corrective measures. An existing system may continue to operate, but a corrective action
0/5000
4.0 การประเมินผลกระทบทางธุรกิจและข้อมูลความเสี่ยง4.1 ระบุข้อมูลสินทรัพย์ขั้นตอนแรกในการประเมินผลกระทบทางธุรกิจและความเสี่ยงของระบบ IT คือการ กำหนดขอบเขตของความพยายาม ขอบเขตของระบบมีระบุทรัพยากรและข้อมูลที่จัดทำระบบ ระบุข้อมูลสินทรัพย์นี้สร้างขอบเขตของการประเมินความเสี่ยง delineates ขอบเขตการตรวจสอบการดำเนินงาน และให้ข้อมูลที่จำเป็นเพื่อกำหนดความเสี่ยงออกกำลังกายนี้สามารถทำได้ผ่านแบบสอบถาม สัมภาษณ์ในสถานที่ รีวิวเอกสาร หรือใช้เครื่องมือการสแกนอัตโนมัติ รวบรวมข้อมูลสามารถทำได้ตลอดกระบวนการประเมินความเสี่ยง4.2 สร้างความต้องการสำหรับธุรกิจและการกู้คืนความต้องการของธุรกิจและการกู้คืนคือ การเตรียมความพร้อมสำหรับรับมือกับเหตุการณ์ที่ไม่ได้วางแผนที่จะมีผลกระทบสำคัญของการดำเนินงานและความมุ่งมั่นให้ลูกค้าขั้นตอนกำหนดไว้ล่วงหน้านี้ได้รับการบันทึกต้องไม่สามารถแปลผลเป็นหลักสูตรเฉพาะของการดำเนินการเนื่องจากภัยพิบัติที่มาในหลากหลายรูปแบบ ความซับซ้อน และความรุนแรง ชุดที่เป็นไปของเหตุการณ์ที่เกิดขึ้นหลังจากภัยพิบัติไม่คาดไว้ทั้งหมด สถานการณ์ที่อธิบายไว้ในการ BCP ไม่มีการดำเนินการโดยใช้สามัญสำนึก โดย improvising เกิน BCP เอกสารกรอบเดียวกันหรือวิธีการสำหรับ การวางแผนการกู้คืนภัยพิบัติต้องรักษา เพื่อให้แน่ใจว่า แผนทั้งหมดสอดคล้องกัน และระบุระดับความสำคัญสำหรับการทดสอบและการบำรุงรักษา การภัยพิบัติกรอบการวางแผนต้องมีดังนี้: -•มันฉุกเฉิน: ขั้นตอนการฉุกเฉินซึ่งอธิบายการดำเนินการจะต้องดำเนินการต่อเหตุการณ์ นี้•มันย้อนกลับขั้นตอน: ขั้นตอนการย้อนกลับซึ่งอธิบายการดำเนินการจะต้องดำเนิน การย้ายกิจกรรมสำคัญ หรือบริการไปยังตำแหน่งชั่วคราวอื่นสนับสนุน และนำกระบวนการทางธุรกิจ กลับเข้าไปในการดำเนินงานในการชั่งเวลาต้อง•มันเริ่มต้นใหม่ตอน: ขั้นตอนการเริ่มต้นใหม่ซึ่งอธิบายการดำเนินการจะต้องดำเนินการเพื่อกลับสู่การดำเนินธุรกิจปกติ• IT กำหนดการทดสอบการกู้คืน: กำหนดการการบำรุงรักษาซึ่งระบุวิธี และเมื่อแผนจะทดสอบ และกระบวนการการรักษาแผนการ•ให้ความรู้และกิจกรรมการฝึกอบรมที่ถูกออกแบบเพื่อสร้างความเข้าใจกระบวนการความต่อเนื่องทางธุรกิจ และให้แน่ใจว่า กระบวนการดำเนินต่อจะมีประสิทธิภาพ•รับผิดชอบรายการของบุคคล อธิบายที่รับผิดชอบดำเนินการซึ่งส่วนประกอบของแผน ต้องเสนอทางเลือกตามความจำเป็นแต่ละแผนต้องเป็นเจ้าของเฉพาะ ฉุกเฉิน แผนย้อนกลับด้วยตนเอง และแผนการเริ่มต้นใหม่ต้องอยู่ภายในความรับผิดชอบของเจ้าของทรัพยากรที่เหมาะสมหรือกระบวนการที่เกี่ยวข้อง ยังต้องจัดบริการทางเทคนิคอื่น เช่นสิ่งอำนวยความสะดวกการประมวลผลข้อมูลย้อนกลับใน 4.3 ระบุภัยคุกคามและช่องโหว่ภัยคุกคามมีศักยภาพในการคุกคามแหล่งเฉพาะที่ใช้ช่องโหว่เฉพาะเรียบร้อยแล้ว ความอ่อนแอที่ถูกทริกเกอร์โดยไม่ตั้งใจ หรือตั้งใจสามารถเกิดช่องโหว่ได้ คุกคามแหล่งไม่มีความเสี่ยงเมื่อมีไม่มีช่องโหว่ที่สามารถใช้สิทธิ ในการประเมินโอกาสของการคุกคาม หนึ่งต้องพิจารณาแหล่งที่ มาของภัยคุกคาม ช่องโหว่ที่อาจเกิดขึ้น และตัวควบคุมที่มีอยู่คุกคามแหล่งถูกกำหนดเป็นสถานการณ์หรือเหตุการณ์ที่ มีศักยภาพที่จะก่อให้เกิดอันตรายกับระบบไอทีใด ๆ ภัยคุกคามแหล่งทั่วไปสามารถเป็นมนุษย์ หรือสิ่งแวดล้อมการวิเคราะห์ภัยคุกคามระบบไอทีต้องมีการวิเคราะห์ช่องโหว่ที่เกี่ยวข้องกับสภาพแวดล้อมระบบ เป้าหมายของการนี้คือการ พัฒนารายการของช่องโหว่ของระบบ (ข้อบกพร่องหรือจุดอ่อน) ที่ติดคุกคามสาเหตุ ต่อไปนี้เป็นการอ้างอิงที่ใช้ โดย GHL เป็นแหล่งของข้อมูลช่องโหว่อ้างอิง:1. https://cve.mitre.org/cve/index.html2. http://www.securityfocus.com/3. https://www.cvedetails.com/4.4 การกำหนดโอกาสภัยคุกคามการกำหนดความเสี่ยงสำหรับคู่เฉพาะภัยคุกคาม/เสี่ยงคือ:•โอกาสในการพยายามกำหนดภัยคุกคามแหล่งที่มาของการออกกำลังกายกำหนดช่องโหว่•ขนาดของผลกระทบควรมาคุกคามเรียบร้อยแล้วใช้ช่องโหว่•ความเพียงพอของการควบคุมความปลอดภัยวางแผนไว้ หรือที่มีอยู่เพื่อลด หรือกำจัดความเสี่ยงระดับความเสี่ยงต่ำ ปานกลาง และ สูง แสดงถึงระดับหรือความเสี่ยงที่เป็น IT ระบบ สิ่งอำนวยความสะดวก หรือกระบวนอาจได้สัมผัสถ้าช่องโหว่ให้มีสิทธิ ระดับความเสี่ยงยังนำเสนอการดำเนินการที่ผู้บริหารระดับสูง เจ้าของภารกิจ ต้องใช้เวลาแต่ละระดับความเสี่ยง แสดง โดยตารางด้านล่างคำอธิบายความเสี่ยงระดับความเสี่ยงและการดำเนินการที่จำเป็นสูงถ้าสังเกตหรือหาคือประเมินเป็นความเสี่ยงสูง มีความแข็งแรงต้องการสำหรับมาตรการแก้ไข ระบบที่มีอยู่อาจดำเนินการต่อไป แต่การดำเนินการแก้ไข
การแปล กรุณารอสักครู่..
อิมแพ็ค 4.0 ธุรกิจและข้อมูลการประเมินความเสี่ยง
4.1 บัตรประจำตัวของข้อมูลสินทรัพย์
ขั้นตอนแรกในการประเมินผลกระทบทางธุรกิจและความเสี่ยงของระบบไอทีคือการกำหนดขอบเขตของความพยายามที่ ขอบเขตของระบบไอทีที่มีการระบุพร้อมกับทรัพยากรและข้อมูลที่ทำขึ้นในระบบ บัตรประจำตัวของสินทรัพย์ข้อมูลนี้สร้างขอบเขตของความพยายามในการประเมินความเสี่ยงที่ให้สัตยาบันขอบเขตการอนุมัติการดำเนินงานและให้ข้อมูลที่จำเป็นในการกำหนดความเสี่ยง. การออกกำลังกายนี้สามารถดำเนินการผ่านทางแบบสอบถามการสัมภาษณ์บนเว็บไซต์ทบทวนเอกสารหรือการใช้การสแกนอัตโนมัติ เครื่องมือ. การรวบรวมข้อมูลที่สามารถดำเนินการตลอดทั้งกระบวนการการประเมินความเสี่ยง. 4.2 ข้อกำหนดสำหรับการต่อเนื่องทางธุรกิจและการกู้คืนสร้างความต้องการของธุรกิจอย่างต่อเนื่องและการกู้คืนเพื่อเตรียมความพร้อมและรับมือกับเหตุการณ์ที่ไม่ได้วางแผนว่าจะมีผลกระทบอย่างมีนัยสำคัญในการดำเนินงานและความมุ่งมั่นให้กับลูกค้า. ก่อน ขั้นตอนการ -defined เอกสารไว้ในที่นี้จะต้องไม่ถูกตีความว่าเป็นหลักสูตรเฉพาะของการดำเนินการเพราะภัยพิบัติที่มาในรูปแบบต่างๆ, ความซับซ้อนและความรุนแรง ชุดที่เป็นไปได้ของเหตุการณ์ที่เกิดขึ้นหลังภัยพิบัติที่ไม่สามารถคาดการณ์ไว้อย่างสิ้นเชิง สถานการณ์ไม่ได้อธิบายไว้ใน BCP ที่มีการที่จะดำเนินการโดยใช้สามัญสำนึกโดยทันควันเกิน BCP เอกสาร. กรอบเดียวหรือวิธีการสำหรับ IT วางแผนการกู้คืนภัยพิบัติที่จะต้องดูแลเพื่อให้มั่นใจว่าแผนทั้งหมดมีความสอดคล้องกันและเพื่อระบุลำดับความสำคัญสำหรับการทดสอบและการบำรุงรักษา กรอบการวางแผนการกู้คืนภัยพิบัติจะต้องมีต่อไปนี้: - •ไอทีขั้นตอนฉุกเฉิน. ขั้นตอนการฉุกเฉินที่อธิบายการดำเนินการที่จะต้องดำเนินการดังต่อไปนี้เหตุการณ์ที่เกิดขึ้น•เพราะขั้นตอนการสำรอง: ขั้นตอนการสำรองที่อธิบายการดำเนินการที่จะต้องดำเนินการที่จะย้ายกิจกรรมที่สำคัญหรือการสนับสนุน บริการไปยังสถานที่ชั่วคราวทางเลือกและนำกระบวนการทางธุรกิจที่กลับเข้ามาในการดำเนินงานในเครื่องชั่งเวลาที่กำหนด. •ขั้นตอนการเริ่มต้นใหม่ไอที: ขั้นตอนการเริ่มต้นใหม่ที่อธิบายการดำเนินการที่จะต้องดำเนินการเพื่อกลับไปดำเนินธุรกิจตามปกติ. •ไอทีทดสอบการกู้คืนเวลา: ตารางการบำรุงรักษาที่ระบุ วิธีการและเมื่อแผนจะมีการทดสอบและกระบวนการในการรักษาแผน. •กิจกรรมให้ความรู้และการฝึกอบรมซึ่งได้รับการออกแบบมาเพื่อสร้างความเข้าใจในกระบวนการต่อเนื่องทางธุรกิจและให้แน่ใจว่ากระบวนการดำเนินการต่อไปได้อย่างมีประสิทธิภาพ. •ความรับผิดชอบรายการของบุคคลอธิบาย ใครเป็นผู้รับผิดชอบในการดำเนินการซึ่งองค์ประกอบของแผน ทางเลือกที่ต้องได้รับการเสนอชื่อเข้าชิงตามที่ต้องการ. แต่ละแผนจะต้องมีการใช้ที่เฉพาะเจาะจง ขั้นตอนการฉุกเฉินคู่มือแผนสำรองและแผนเริ่มต้นใหม่จะต้องอยู่ในความรับผิดชอบของเจ้าของทรัพยากรที่เหมาะสมหรือกระบวนการที่เกี่ยวข้อง การเตรียมการสำรองสำหรับการให้บริการทางเทคนิคทางเลือกเช่นสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลที่ยังต้องอยู่ในสถาน. 4.3 การระบุภัยคุกคามและช่องโหว่ภัยคุกคามที่มีศักยภาพสำหรับภัยคุกคามโดยเฉพาะอย่างยิ่งแหล่งที่มาเพื่อประสบความสำเร็จในการออกกำลังกายช่องโหว่โดยเฉพาะอย่างยิ่ง ช่องโหว่เป็นจุดอ่อนที่สามารถเรียกใช้ประโยชน์โดยบังเอิญหรือจงใจ ภัยคุกคามที่มาไม่ได้มีความเสี่ยงเมื่อมีช่องโหว่ที่สามารถใช้สิทธิไม่มี ในการพิจารณาความเป็นไปได้ของการคุกคามที่หนึ่งต้องพิจารณาภัยคุกคามแหล่งที่มาช่องโหว่ที่อาจเกิดขึ้นและการควบคุมที่มีอยู่. ภัยคุกคามที่มาถูกกำหนดให้เป็นสถานการณ์หรือเหตุการณ์ใด ๆ ที่มีศักยภาพที่จะก่อให้เกิดอันตรายกับระบบไอที ที่พบภัยคุกคามที่มาสามารถเป็นมนุษย์หรือสิ่งแวดล้อม. การวิเคราะห์ภัยคุกคามต่อระบบไอทีจะต้องรวมถึงการวิเคราะห์ของช่องโหว่ที่เกี่ยวข้องกับสภาพแวดล้อมของระบบที่ เป้าหมายของการนี้คือการพัฒนารายการของช่องโหว่ของระบบ (ข้อบกพร่องหรือจุดอ่อน) ที่สามารถใช้ประโยชน์จากศักยภาพภัยคุกคามที่มา ต่อไปนี้เป็นข้อมูลอ้างอิงที่ใช้โดย GHL เป็นแหล่งข้อมูลช่องโหว่. อ้างอิง: 1 https://cve.mitre.org/cve/index.html 2 http://www.securityfocus.com/ 3 https://www.cvedetails.com/ 4.4 กำหนดความน่าจะเป็นของภัยคุกคามที่การกำหนดความเสี่ยงในการเป็นคู่ภัยคุกคาม / ช่องโหว่โดยเฉพาะอย่างยิ่งคือ•ความน่าจะเป็นของความพยายามที่ได้รับภัยคุกคามที่มาของการออกกำลังกายกับช่องโหว่ที่ได้รับ•ขนาดของ ผลกระทบควรจะเป็นภัยคุกคามที่มาประสบความสำเร็จในการออกกำลังกายช่องโหว่•ความเพียงพอของการวางแผนหรือที่มีอยู่การควบคุมความปลอดภัยสำหรับการลดหรือกำจัดความเสี่ยง. ระดับความเสี่ยงของต่ำกลางและสูงหมายถึงการศึกษาระดับปริญญาหรือระดับความเสี่ยงที่เป็นระบบไอที, สิ่งอำนวยความสะดวก หรือขั้นตอนอาจจะสัมผัสถ้าช่องโหว่ที่กำหนดใช้สิทธิ ระดับความเสี่ยงที่ยังมีการกระทำที่เจ้าของผู้บริหารระดับสูงที่ภารกิจจะต้องใช้เวลาสำหรับแต่ละระดับความเสี่ยง นี้เป็นตัวแทนจากตารางด้านล่างคำอธิบายความเสี่ยงชั่งความเสี่ยงและการดำเนินการที่จำเป็นสูงหากมีข้อสังเกตหรือหาได้รับการประเมินว่าเป็นความเสี่ยงสูงมีความต้องการที่แข็งแกร่งสำหรับมาตรการแก้ไข ระบบที่มีอยู่อาจจะยังคงดำเนินการ แต่การดำเนินการแก้ไข
4.1 บัตรประจำตัวของข้อมูลสินทรัพย์
ขั้นตอนแรกในการประเมินผลกระทบทางธุรกิจและความเสี่ยงของระบบไอทีคือการกำหนดขอบเขตของความพยายามที่ ขอบเขตของระบบไอทีที่มีการระบุพร้อมกับทรัพยากรและข้อมูลที่ทำขึ้นในระบบ บัตรประจำตัวของสินทรัพย์ข้อมูลนี้สร้างขอบเขตของความพยายามในการประเมินความเสี่ยงที่ให้สัตยาบันขอบเขตการอนุมัติการดำเนินงานและให้ข้อมูลที่จำเป็นในการกำหนดความเสี่ยง. การออกกำลังกายนี้สามารถดำเนินการผ่านทางแบบสอบถามการสัมภาษณ์บนเว็บไซต์ทบทวนเอกสารหรือการใช้การสแกนอัตโนมัติ เครื่องมือ. การรวบรวมข้อมูลที่สามารถดำเนินการตลอดทั้งกระบวนการการประเมินความเสี่ยง. 4.2 ข้อกำหนดสำหรับการต่อเนื่องทางธุรกิจและการกู้คืนสร้างความต้องการของธุรกิจอย่างต่อเนื่องและการกู้คืนเพื่อเตรียมความพร้อมและรับมือกับเหตุการณ์ที่ไม่ได้วางแผนว่าจะมีผลกระทบอย่างมีนัยสำคัญในการดำเนินงานและความมุ่งมั่นให้กับลูกค้า. ก่อน ขั้นตอนการ -defined เอกสารไว้ในที่นี้จะต้องไม่ถูกตีความว่าเป็นหลักสูตรเฉพาะของการดำเนินการเพราะภัยพิบัติที่มาในรูปแบบต่างๆ, ความซับซ้อนและความรุนแรง ชุดที่เป็นไปได้ของเหตุการณ์ที่เกิดขึ้นหลังภัยพิบัติที่ไม่สามารถคาดการณ์ไว้อย่างสิ้นเชิง สถานการณ์ไม่ได้อธิบายไว้ใน BCP ที่มีการที่จะดำเนินการโดยใช้สามัญสำนึกโดยทันควันเกิน BCP เอกสาร. กรอบเดียวหรือวิธีการสำหรับ IT วางแผนการกู้คืนภัยพิบัติที่จะต้องดูแลเพื่อให้มั่นใจว่าแผนทั้งหมดมีความสอดคล้องกันและเพื่อระบุลำดับความสำคัญสำหรับการทดสอบและการบำรุงรักษา กรอบการวางแผนการกู้คืนภัยพิบัติจะต้องมีต่อไปนี้: - •ไอทีขั้นตอนฉุกเฉิน. ขั้นตอนการฉุกเฉินที่อธิบายการดำเนินการที่จะต้องดำเนินการดังต่อไปนี้เหตุการณ์ที่เกิดขึ้น•เพราะขั้นตอนการสำรอง: ขั้นตอนการสำรองที่อธิบายการดำเนินการที่จะต้องดำเนินการที่จะย้ายกิจกรรมที่สำคัญหรือการสนับสนุน บริการไปยังสถานที่ชั่วคราวทางเลือกและนำกระบวนการทางธุรกิจที่กลับเข้ามาในการดำเนินงานในเครื่องชั่งเวลาที่กำหนด. •ขั้นตอนการเริ่มต้นใหม่ไอที: ขั้นตอนการเริ่มต้นใหม่ที่อธิบายการดำเนินการที่จะต้องดำเนินการเพื่อกลับไปดำเนินธุรกิจตามปกติ. •ไอทีทดสอบการกู้คืนเวลา: ตารางการบำรุงรักษาที่ระบุ วิธีการและเมื่อแผนจะมีการทดสอบและกระบวนการในการรักษาแผน. •กิจกรรมให้ความรู้และการฝึกอบรมซึ่งได้รับการออกแบบมาเพื่อสร้างความเข้าใจในกระบวนการต่อเนื่องทางธุรกิจและให้แน่ใจว่ากระบวนการดำเนินการต่อไปได้อย่างมีประสิทธิภาพ. •ความรับผิดชอบรายการของบุคคลอธิบาย ใครเป็นผู้รับผิดชอบในการดำเนินการซึ่งองค์ประกอบของแผน ทางเลือกที่ต้องได้รับการเสนอชื่อเข้าชิงตามที่ต้องการ. แต่ละแผนจะต้องมีการใช้ที่เฉพาะเจาะจง ขั้นตอนการฉุกเฉินคู่มือแผนสำรองและแผนเริ่มต้นใหม่จะต้องอยู่ในความรับผิดชอบของเจ้าของทรัพยากรที่เหมาะสมหรือกระบวนการที่เกี่ยวข้อง การเตรียมการสำรองสำหรับการให้บริการทางเทคนิคทางเลือกเช่นสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลที่ยังต้องอยู่ในสถาน. 4.3 การระบุภัยคุกคามและช่องโหว่ภัยคุกคามที่มีศักยภาพสำหรับภัยคุกคามโดยเฉพาะอย่างยิ่งแหล่งที่มาเพื่อประสบความสำเร็จในการออกกำลังกายช่องโหว่โดยเฉพาะอย่างยิ่ง ช่องโหว่เป็นจุดอ่อนที่สามารถเรียกใช้ประโยชน์โดยบังเอิญหรือจงใจ ภัยคุกคามที่มาไม่ได้มีความเสี่ยงเมื่อมีช่องโหว่ที่สามารถใช้สิทธิไม่มี ในการพิจารณาความเป็นไปได้ของการคุกคามที่หนึ่งต้องพิจารณาภัยคุกคามแหล่งที่มาช่องโหว่ที่อาจเกิดขึ้นและการควบคุมที่มีอยู่. ภัยคุกคามที่มาถูกกำหนดให้เป็นสถานการณ์หรือเหตุการณ์ใด ๆ ที่มีศักยภาพที่จะก่อให้เกิดอันตรายกับระบบไอที ที่พบภัยคุกคามที่มาสามารถเป็นมนุษย์หรือสิ่งแวดล้อม. การวิเคราะห์ภัยคุกคามต่อระบบไอทีจะต้องรวมถึงการวิเคราะห์ของช่องโหว่ที่เกี่ยวข้องกับสภาพแวดล้อมของระบบที่ เป้าหมายของการนี้คือการพัฒนารายการของช่องโหว่ของระบบ (ข้อบกพร่องหรือจุดอ่อน) ที่สามารถใช้ประโยชน์จากศักยภาพภัยคุกคามที่มา ต่อไปนี้เป็นข้อมูลอ้างอิงที่ใช้โดย GHL เป็นแหล่งข้อมูลช่องโหว่. อ้างอิง: 1 https://cve.mitre.org/cve/index.html 2 http://www.securityfocus.com/ 3 https://www.cvedetails.com/ 4.4 กำหนดความน่าจะเป็นของภัยคุกคามที่การกำหนดความเสี่ยงในการเป็นคู่ภัยคุกคาม / ช่องโหว่โดยเฉพาะอย่างยิ่งคือ•ความน่าจะเป็นของความพยายามที่ได้รับภัยคุกคามที่มาของการออกกำลังกายกับช่องโหว่ที่ได้รับ•ขนาดของ ผลกระทบควรจะเป็นภัยคุกคามที่มาประสบความสำเร็จในการออกกำลังกายช่องโหว่•ความเพียงพอของการวางแผนหรือที่มีอยู่การควบคุมความปลอดภัยสำหรับการลดหรือกำจัดความเสี่ยง. ระดับความเสี่ยงของต่ำกลางและสูงหมายถึงการศึกษาระดับปริญญาหรือระดับความเสี่ยงที่เป็นระบบไอที, สิ่งอำนวยความสะดวก หรือขั้นตอนอาจจะสัมผัสถ้าช่องโหว่ที่กำหนดใช้สิทธิ ระดับความเสี่ยงที่ยังมีการกระทำที่เจ้าของผู้บริหารระดับสูงที่ภารกิจจะต้องใช้เวลาสำหรับแต่ละระดับความเสี่ยง นี้เป็นตัวแทนจากตารางด้านล่างคำอธิบายความเสี่ยงชั่งความเสี่ยงและการดำเนินการที่จำเป็นสูงหากมีข้อสังเกตหรือหาได้รับการประเมินว่าเป็นความเสี่ยงสูงมีความต้องการที่แข็งแกร่งสำหรับมาตรการแก้ไข ระบบที่มีอยู่อาจจะยังคงดำเนินการ แต่การดำเนินการแก้ไข
การแปล กรุณารอสักครู่..
ผลกระทบและการประเมินความเสี่ยงทางธุรกิจข้อมูล4.1 การกำหนดสินทรัพย์ข้อมูลขั้นตอนแรกในการประเมินผลกระทบต่อธุรกิจและความเสี่ยงของระบบมันคือการกำหนดขอบเขตของความพยายาม ขอบเขตของระบบมีการระบุพร้อมกับทรัพยากรและข้อมูลที่ทำให้ระบบ นี้ระบุทรัพย์สินสารสนเทศสร้างขอบเขตของการประเมินความเสี่ยงความพยายามอธิบายขอบเขตการดำเนินงานและให้ข้อมูลที่จำเป็นในการกำหนดความเสี่ยงการออกกำลังกายนี้สามารถดำเนินการผ่านทางแบบสอบถาม สัมภาษณ์ในเว็บไซต์ , ตรวจสอบเอกสาร หรือการใช้เครื่องมือสแกนอัตโนมัติ . การรวบรวมข้อมูลสามารถดำเนินการผ่านกระบวนการประเมินความเสี่ยง4.2 สร้างความต้องการสำหรับความต่อเนื่องทางธุรกิจและการกู้คืนความต้องการของธุรกิจต่อเนื่องและกู้คืนเพื่อเตรียมรับมือกับเหตุการณ์ที่ไม่ได้วางแผนและที่จะมีผลกระทบอย่างมากต่อการดำเนินงานและความมุ่งมั่นให้กับลูกค้าขั้นตอนที่กำหนดไว้ล่วงหน้าไว้ในที่นี้ ต้องไม่ตีความว่าเป็นหลักสูตรเฉพาะของการกระทำเพราะภัยพิบัติที่มาในรูปแบบต่างๆ ที่ซับซ้อนและรุนแรง รวมกันได้ของเหตุการณ์ที่เกิดขึ้นหลังภัยพิบัติที่ไม่สามารถคาดการณ์ได้โดยสิ้นเชิง สถานการณ์ที่อธิบายไว้ในบริษัทจะต้องดำเนินการโดยใช้สามัญสำนึกโดย improvising นอกเหนือจากเอกสารอ .กรอบเดียวหรือวิธีการวางแผนกู้คืนภัยพิบัติต้องดูแลเพื่อให้แน่ใจว่าแผนทั้งหมดมีความสอดคล้องกัน และสามารถระบุลำดับความสำคัญสำหรับการทดสอบและการบำรุงรักษา มันกู้คืนความเสียหายวางแผนกรอบต้องรวมถึงต่อไปนี้ :ฉุกเฉิน ฉุกเฉิน - ขั้นตอนขั้นตอนที่อธิบายการกระทำที่จะต้องดำเนินการต่อเหตุการณ์ที่เกิดขึ้น- มันถอยกลับขั้นตอน : ขั้นตอนที่อธิบายการกระทำที่พึ่งถูกย้ายกิจกรรมสำคัญหรือบริการสนับสนุนทางเลือกสถานที่ชั่วคราว และนำกระบวนการทางธุรกิจกลับมาดำเนินการในเวลาที่กำหนด 3 .- มันเป็นขั้นตอน : ขั้นตอนที่อธิบายการกระทำใหม่เพื่อนำกลับไปดำเนินธุรกิจปกติบริการทดสอบการกู้คืนตาราง : การบำรุงรักษาตารางเวลาที่กำหนดวิธีการและเมื่อวางแผนจะทดสอบ และกระบวนการการรักษาแผน- ความรู้และการฝึกอบรมกิจกรรมต่างๆที่ถูกออกแบบมาเพื่อสร้างความเข้าใจของความต่อเนื่องทางธุรกิจกระบวนการและให้แน่ใจว่ากระบวนการต่อไปให้มีประสิทธิภาพ- รายการความรับผิดชอบของแต่ละบุคคล อธิบาย เป็นผู้รับผิดชอบดำเนินการ ซึ่งองค์ประกอบของแผน ทางเลือกที่ต้องเสนอชื่อตามที่ต้องการแต่ละแผนต้องเป็นเจ้าของที่เฉพาะเจาะจง ขั้นตอนฉุกเฉิน แผนสำรอง แผนและคู่มือการเริ่มต้นใหม่ต้องอยู่ในความรับผิดชอบของเจ้าของของทรัพยากรที่เหมาะสม หรือกระบวนการที่เกี่ยวข้อง การเตรียมการ fallback สำหรับบริการทางเทคนิคอื่น เช่น เครื่องประมวลผล ข้อมูลจะต้องอยู่ในสถานที่4.3 การคุกคามและช่องโหว่ภัยคุกคามที่มีศักยภาพสำหรับแหล่งที่มาคุกคาม โดยเฉพาะประสบความสำเร็จการออกกำลังกายช่องโหว่ที่เฉพาะเจาะจง ช่องโหว่เป็นจุดอ่อนที่สามารถเผลอเรียกหรือจงใจเอาเปรียบ คุกคามแหล่งไม่เสนอความเสี่ยงเมื่อไม่มีช่องโหว่ที่สามารถใช้สิทธิ . ในการกำหนดความเป็นไปได้ของการคุกคาม , หนึ่งจะต้องพิจารณาแหล่งที่มาของภัยคุกคามช่องโหว่ที่อาจเกิดขึ้นและการควบคุมที่มีอยู่คุกคามแหล่งหมายถึงสถานการณ์หรือเหตุการณ์ใด ๆที่มีศักยภาพที่จะก่อให้เกิดอันตรายต่อระบบไอที . ภัยคุกคามที่พบแหล่งสามารถมนุษย์หรือสิ่งแวดล้อมการวิเคราะห์ภัยคุกคามระบบมันต้องรวมถึงการวิเคราะห์ช่องโหว่ที่เกี่ยวข้องกับสภาพแวดล้อมของระบบ เป้าหมายนี้คือเพื่อพัฒนารายการช่องโหว่ระบบ ( ข้อบกพร่องหรือจุดอ่อน ) ที่สามารถใช้ประโยชน์จากแหล่งที่มาของภัยคุกคามที่อาจเกิดขึ้น ต่อไปนี้คือการอ้างอิงที่ใช้โดย ghl เป็นแหล่งที่มาของข้อมูลความอ่อนแออ้างอิง :1 . https://cve.mitre.org/cve/index.html2 . http://www.securityfocus.com/3 . https://www.cvedetails.com/4.4 กำหนดความเป็นไปได้ของภัยคุกคามการวิเคราะห์ความเสี่ยงภัย / ความเสี่ยงเฉพาะคู่ :- โอกาสของการพยายามที่จะได้รับแหล่งที่มาออกกำลังกายให้ช่องโหว่- ขนาดของผลกระทบควรคุกคามแหล่งออกกำลังกายช่องโหว่เรียบร้อยแล้ว- ความเพียงพอของการวางแผน หรือการควบคุมความปลอดภัยที่มีอยู่เพื่อลดหรือกำจัดความเสี่ยงความเสี่ยงระดับต่ำ ปานกลาง และสูง หมายถึง ระดับหรือระดับของความเสี่ยงที่เป็นระบบ , โรงงาน หรือขั้นตอนอาจจะถูกถ้าช่องโหว่ได้ออกกำลัง ความเสี่ยงและยังแสดงการกระทำที่ผู้บริหารระดับสูง ภารกิจเจ้าของต้องใช้สำหรับแต่ละระดับความเสี่ยง นี้แสดงโดยตารางด้านล่างความเสี่ยงระดับความเสี่ยงรายละเอียดที่จำเป็นและการกระทำสูง ถ้าสังเกตหรือการประเมินเป็นเสี่ยงสูง ต้องมีมาตรการแก้ไข ระบบที่มีอยู่อาจจะดำเนินต่อไปได้ แต่การแก้ไข
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- According to the passage, which of thefo
- Performance managment isba core organiza
- ห่างไกลกันเกินไป
- ทำไมคุณคิดเช่นนั้น
- คนนึง
- late husbandchildhood
- ภายในจะมีห้องแสดงส่วนต่างๆของหมูและวัว ว
- มั่วมาก
- i don't take a photo my body
- แต่บริษัทจะยังไม่หยุดพัฒนาเพียงแค่นี้
- 玻璃纸炒面
- I wrote the message into the box to him.
- 上海人家
- This remarkable statement had clear impl
- ผมเป็นแค่คนจน หาเช้ากินค่ำเอง ธุรกิจเงิน
- IBIZA PHONE-IN PRIZE WINNER FIRED
- Sleep quality calculated! Check it out!
- Do you have any other suggestions on how
- แจ้งตำรวจหรือไม่ก็เจ้าของตึก
- การนำเสนอสินค้าหรือบริการที่เหมาะสมเฉพาะ
- พวกเรากินข้าวด้วยกันทุกวัน
- Er ist immer laut
- MGA: Chapter 899 – The Invasion of an Ar
- Right-click the plunger Appearance timel
