Hình 5 - Mô hình khái niệm của các vùng rủi ro an ninh mạng

Như vậy, một đánh giá rủi ro an ninh mạng và quản lý đánh giá phải được điều chỉnh để xác định và xác nhận các kiểm soát an ninh kỹ thuật và các khía cạnh thiết kế/kiến trúc an ninh kỹ thuật, và việc hỗ trợ các kiểm soát an ninh phi kỹ thuật, và song song với thực tiễn an ninh tốt được nhận ra, đã được đưa ra trong TCVN ISO/IEC 27001, TCVN ISO/IEC 27002 và ISO/IEC 27005. Nó bao gồm năm hoạt động chính:

● Xác nhận các thước đo tầm quan trọng của thông tin và dịch vụ, nhấn mạnh về các va chạm bất lợi tiềm tàng trong các vận hành kinh doanh là các sự cố không mong muốn xảy ra (đôi khi được gọi là các đánh giá tài sản). Nó sẽ bao gồm các giá trị của các vận hành kinh doanh của thông tin được truyền qua một mạng, bất kỳ thông tin khác có thể truy cập tiềm năng dưới một cách thức trái phép qua mạng, và của các dịch vụ được cung cấp)

● Xác định và đánh giá sự hợp lệ hoặc các mức các đe dọa chống lại thông tin và dịch vụ,

● Xác định và đánh giá mức độ của sự nghiêm trọng hoặc các mức độ nhạy cảm (điểm yếu) mà bị lợi dụng bởi các mối đe dọa được xác định,

● Đánh giá các giới hạn của các rủi ro, dựa trên các giới hạn được xác nhận của các va chạm bất lợi tiềm tàng trên các vận hành kinh doanh và các mức của các đe dọa và các lỗ hổng,

● Xác định các khía cạnh thiết kế/kiến trúc an ninh kỹ thuật và các vùng kiểm soát an ninh tiềm năng mà được chứng minh bởi, và được yêu cầu để đảm bảo rằng các rủi ro được đánh giá còn tồn tại trong các giới hạn chấp nhận được.

Quy trình chính của việc đánh giá và quản lý rủi ro an ninh mạng được thể hiện trong Hình 6. (Điều này có hiệu lực mở rộng hộp trong Hình 6 được với tiêu đề "Xác định phạm vi/bối cảnh và đánh giá các rủi ro" và hộp liên quan đến nó "Xác định các rủi ro liên kết mạng và chuẩn bị để xác định các kiểm soát an ninh")

Trong Hình 6, hai hàng đầu của hộp đặt nhãn "Thiết lập của đánh giá ranh giới/phạm vi" và "việc xác định các tài sản" được chỉ ra trong các hoạt động sơ bộ. Hai hàng tiếp theo chỉ ra các hoạt động đánh giá rủi ro, và hai hàng cuối chỉ ra việc chọn lựa kiểm soát an ninh thông tin và (số dư) các hoạt động chấp thuận rủi ro.

Nó nhấn mạnh rằng việc kiểm soát an ninh các đánh giá đó sử dụng phải được tạo ra, được áp dụng, của thông tin rủi ro (và kiểm soát an ninh) liên quan tới các kịch bản mạng và các chủ đề "công nghệ" - xem Điều 10 và 11, và Phụ lục A bên dưới và các Phần từ 3 đến 7.