AssessITS: Integrating Procedural Guidelines and Practical Evaluation Metrics for Organizational IT and Cybersecurity Risk Assessment

In today’s digitally driven landscape, robust Information Technology (IT) risk assessment practices are essential for safeguarding systems, digital communication, and data. This paper introduces “AssessITS,” an actionable method designed to provide organizations with comprehensive guidelines for conducting IT and cybersecurity risk assessments. Drawing extensively from NIST 800-30 Rev 1, COBIT 5, and ISO 31000, “AssessITS” bridges the gap between high-level theoretical standards and practical implementation challenges. The paper outlines a step-by-step methodology that organizations can simply adopt to systematically identify, analyze, and mitigate IT risks. By simplifying complex principles into actionable procedures, this framework equips practitioners with the tools needed to perform risk assessments independently, without too much reliance on external vendors. The guidelines are developed to be straightforward, integrating practical evaluation metrics that allow for the precise quantification of asset values, threat levels, vulnerabilities, and impacts on confidentiality, integrity, and availability. This approach ensures that the risk assessment process is not only comprehensive but also accessible, enabling decision-makers to implement effective risk mitigation strategies customized to their unique operational contexts. “AssessITS” aims to enable organizations to enhance their IT security strength through practical, actionable guidance based on internationally recognized standards.

基于三级编码的智能城市网络安全风险评估体系构建研究

[研究目的]城市的智能化发展为城市建设带来了多元的网络安全风险,这些风险已经成为城市发展中的极大隐患,为有效应对该问题,构建了智能城市网络安全风险评估体系。[研究方法]首先基于计量分析对国内外近十年的相关研究进行整理和可视化处理,构建用于评价指标提取的数据集;然后利用扎根理论中的三级编码方法提取智能城市安全风险评估中不同级别的评价指标,并进行编码;最后采用量化分析对指标进行合理性检验和修正,并根据HP-ANP模型进行指标赋权,完成智能城市网络安全风险评估体系的构建。[研究结论]通过对评估体系中影响智能城市网络安全风险要素的关联和重要性分析,提出了智能城市安全建设的对策建议,助力智能城市规避网络安全风险。

新时代中国高水平金融安全保障体系构建

金融是现代经济的核心,金融安全是国家安全的重要组成部分。在全面建设社会主义现代化国家新征程上,维护金融安全,是关乎我国经济社会发展全局的一件带有战略性、根本性的大事。新时代中国高水平金融安全,是能有效防范化解系统性金融风险,更好服务于我国经济高质量发展的金融安全,是状态与能力相统一的安全,具有动态性、开放性、防控结合和竞争性等特征。要坚持金融工作的政治性、人民性,坚守为实体经济服务的天职,增强金融监管的有效性,以高水平金融安全为全面建设社会主义现代化国家提供坚实的金融支撑。

基于安全风险的RTL级硬件木马验证研究

信息时代使得信息安全变得日益重要。攻击方为了获取想要的信息,除了使用软件方面的手段,如病毒、蠕虫、软件木马等,也使用硬件手段来威胁设备、系统和数据的安全,如在芯片中植入硬件木马等。如果将硬件木马植入信息处理的核心--处理器,那将风险更高、危害更大。然而,硬件木马位于信息系统底层核心的层面,难以被检测和发现出来。硬件木马是国内外学术界研究的热点课题,尤其是在设计阶段结合源代码的硬件木马检测问题,是新问题,也是有实际需要的问题。在上述背景下,围绕源代码中硬件木马的检测和验证展开了研究。基于硬件木马危害结果属性,在学术上提出基于安全风险的模型和验证规则,给出相应的描述形式,从理论上说明安全验证规则在减少验证盲目性、缩小可疑代码范围、提高评估效率的作用,实验表明,基于安全风险规则的验证,可以避免验证的盲目性和测试空间向量膨胀的问题,有效验证疑似硬件木马的存在和危害,对源代码安全评估是有一定效果的。

当享受遭遇恐惧:自助出境旅游者风险决策的形成逻辑

旅游预期享受与旅行恐惧在旅游者风险决策形成过程中的作用尚未经过实证检验。基于保护动机理论,文章以本体安全感威胁为中介变量、以旅游预期享受和旅行恐惧为调节变量,建构了旅游者风险感知对安全行为和重游意愿的影响作用模型。文章对自助出境旅游者展开问卷调查,共获得509份有效问卷,结果显示:1)旅游者风险感知对安全行为具有正向影响,对重游意愿具有负向影响;2)本体安全感威胁部分中介了风险感知对安全行为的影响路径,完全中介了风险感知对重游意愿的影响路径,它是旅游风险感知影响风险决策的重要中介变量;3)旅游预期享受负向调节风险感知对安全行为的影响,正向调节风险感知对重游意愿的影响,而旅行恐惧正向调节风险感知对安全行为的影响,负向调节风险感知对重游意愿的影响。该研究基于本体安全感和旅游期望的视角,揭示了旅游者风险决策的形成逻辑,为旅游目的地建立面向自助出境旅游者的风险管理体系和安全保障体系提供了理论依据和策略指导。

古建筑安全技术防范系统升级改造工程实施要点——以某地古籍馆为例

随着人类科学的进步及生活水平的提高,对古建筑功能性及保护性的要求日益增加,安防作为保护古建筑的重要技防手段,合理的设置安防系统显得尤为重要。本文以某地古籍馆为例,详细阐述该项目的安全防范系统保护措施,以供参考。

基于二级模糊综合权重的矿井机电设备安全隐患排查方法

常规的矿井机电设备安全隐患排查方法主要依赖于Borda序值法对主要危险元素进行分级处理,易受设备运行关联信息的影响,导致部分隐患排查结果异常。因此,基于模糊二级模糊综合权重,设计一种全新的矿井机电设备安全隐患排查方法。先利用二级模糊综合权重评估矿井机电设备的运行状态,然后设计一个针对性的安全隐患排查算法。实验结果表明,设计的矿井机电设备安全隐患排查方法能够准确识别不同类型的设备隐患,应用效果显著,可提升矿井探采的安全性,降低机电设备的维护难度。

旅游安全风险系统研究

在现代旅游活动中,旅游安全问题日益突出。其活动涉及大、中、小尺度的地域范围,牵涉行业较多,旅游安全存在于旅游行业及其活动的各个环节。当前的旅游安全问题不仅仅是个技术问题,而已成为一个很严重的社会问题。笔者从系统论和旅游地理学的角度,把旅游安全作为一个风险系统进行研究;认为旅游安全风险系统是由旅游者与旅游景区环境共同组成的一个复杂的特定的相互依赖的系统;初步探讨旅游安全风险系统的组成、结构和研究内容;对旅游安全风险系统的安全分析、安全评价和安全措施进行了相关研究;通过研究,以期弄清现代旅游业发展中存在的安全问题,提出旅游安全风险对策。

城市重大危险源区域风险评价研究

旨在以城市重大危险源为主体对象研究出一套科学有效的风险评价方法。通过拓展城市重大危险源的评价技术,提出安全等级“层级叠加”原理,将单独评价拓展为相关耦合评价。研究了城市区域性重大事故风险评价技术及量化方法,以城市地理和城市资源为平台,分析各类灾害发生的可能性,确定种类灾害相对于城市的安全等级,并将其以一定的比例相关系数进行叠加,得到城市安全的综合且近似于实际的安全“图谱”,并综合人口密度分布建立社会风险评价指标,从而对城市危险源进行综合安全规划,并以试点城市为例给出可视化的城市安全等级划分结果。研究工作成果可为相关研究提供参考,为城市安全规划管理提供科学的决策依据,同时对提高我国城市区域性风险评价技术水平,有效预防和控制火灾、爆炸、毒物泄漏等重大恶性事故的发生等方面具有重要意义。

机载系统安保风险评估方法

针对影响民用飞机机载系统安全的信息安保威胁问题,通过研究ISO27005和航空工业标准,提出了一种适用于机载系统的安保风险评估方法。该方法基于威胁条件和威胁场景进行系统脆弱性分析,并结合传统的飞机安全性分析方法与安保风险评估方法,提出一套可量化的风险值计算方法。通过关系矩阵在安全性与安保等级间建立了相关性,为系统需求和架构设计提供了依据。实例验证结果表明,该方法能提供正确与可信的机载系统安保风险评估数据。

海堤安全风险评估技术研究

我国现行规范体系中,关于堤防工程安全标准的确定,主要根据工程级别确定设计重现期,从而选定工程设计参数。文中提出了依据安全风险评估的结果确定海堤安全风险等级方法。首先,通过对海堤灾害进行风险识别和分析,将洪水灾害和海堤结构自身安全失效作为海堤灾害两种主要形式,建立了海堤灾害故障树。然后,将水文动力条件作为随机变量,从频率分布角度定量计算海堤洪水灾害风险程度和结构安全失效风险,提出了海堤安全风险评价方法。最后,依据规范中关于海堤等级和重现期标准的规定,结合海堤洪灾安全风险和结构自身安全风险的评价结果,确定海堤安全风险等级。文中提出的海堤安全评价技术依据海堤风险定量计算结果,从海堤现状条件满足其设计功能目标有效程度,判定海堤安全等级的级别,是一种相对较新且更科学的方法。该海堤安全风险评估技术为海堤管理和建设提供科学支撑。

基于集对分析的隧道设计安全风险评估研究

分析引起公路隧道风险事件的主要风险源,建立安全风险评估指标体系;通过构造区间判断矩阵,考虑专家权重,采用不确定层次分析确定评估指标的权重区间;引入集对分析方法,将评估指标的权重区间转化为精确权重。最后,以岐山隧道为实例,利用此法分析风险源权重,确定各风险事件的风险等级,进而评估初步设计阶段安全风险的总体等级,分析结果为下阶段采取相应的风险控制措施提供重要依据。工程实例分析表明,集对分析应用于公路隧道设计阶段风险评估是一种科学的、有效的评估方法。

基于层次分析法的煤矿分级分层安全状态评估方法

从“人、机、环、管”等方面综合监测以及评估,深入分析影响煤矿安全的相关因素,建立有环境风险、人员风险、水害风险、矿震与地应力风险、事故风险、隐患风险、安全管理风险等七大指标构成一级风险指标的三级分层的决策煤矿安全风险预警指标体系,并运用层次分析法确立风险预警指标体系的相关指标权重。最后结合陕北矿区某矿的矿井生产实际,将汇聚的实际监测数据进行归一化、补缺、标准化等数据预处理,根据建立的层次分析模型结合对应指标权重分析,计算出决策煤矿安全风险等级。并将此方法用于该矿的安全状态评估,明确煤矿当前需要重视的风险类型。

海平面上升背景下上海市长江口水源地供水安全风险评估及对策

分析和甄别上海市需水系统和长江口水源地供水系统风险因子,建立基于水资源供需平衡的上海市水源地供水安全风险评估模型,并采用系统动力学预测模型和高分辨率非正交曲线网格移动潮滩边界的长江河口盐水入侵三维数值模型,分别计算分析2030年人口增长、径流减少和海平面上升等3种风险因子叠加作用下的上海市需水量与长江口陈行、东风西沙和青草沙3个水源地的可供原水量,并进行供需比较分析和供水安全风险评估。结果表明:在海平面分别上升10和25 cm、枯季平均径流和没有新增水源条件下,2020年的缺水量分别为39万和74万m^3/d,特枯水文年供水能力降低19万m3/d;若新增没冒沙水源300万m^3/d,可缓解上海市2020年的缺水状况。

攻击图和HMM结合的网络安全风险评估方法研究

为了解决传统网络安全风险评估不能有效评价网络安全风险动态变化的缺点,根据网络安全的特性,提出了攻击图和隐马尔可夫模型(HMM)相结合的网络安全风险评估方法.采用攻击图生成网络攻击路径,从复杂度和防御能力等方面量化攻击威胁等级,利用隐马尔可夫模型计算攻击路径的攻击成功率,结合网络资产的重要程度确定网络安全风险值.通过实例分析表明,该方法能够提高网络安全风险评估的准确性,能够有效地对网络安全状况进行分析,具有较高的实用性.

关于我国“驴友”运动安全隐患的分析

"驴友"运动是现代户外运动的一种新趋势,但其自身带有探险性质的运动特点决定了该项目存在着一定的风险性。本研究通过分析"驴友"运动的发展特点以及存在的安全问题,提出了一些减少安全事故的防范措施和建议。

三论灾害研究的理论与实践

在作者分别于 1991年发表的《论灾害研究的理论与实践》和 1996年发表的《再论灾害研究的理论与实践》的基础上 ,评述了最近 6年来灾害科学研究的进展 ,提出了灾害科学的基本框架 ,进一步完善了“区域灾害系统论”的理论体系 ,提出了当前灾害科学的主要学术前沿问题。文章并就资源开发与灾情形成机理与动态变化过程进行了综合分析 ,阐述了区域灾害的形成过程 ,进一步从区域可持续发展的角度 ,就建设安全社区 (区域 )提出了“允许灾害风险水平”的区域发展对策。

高危行业同类型同等级事件风险要素评价

为提高高危行业安全管理水平,研究风险要素的评价模型。借鉴作业条件危险性评价LEC法理论意义,针对其主观性和间接性太强的缺憾进行了实质性地改进。同时,通过给出风险源强度评估模型及各风险要素强度评估模型,设计同类型同等级事件风险要素的风险贡献度模型。在此基础上,结合改进后的LEC法,建立同类型同等级事件风险要素的风险值模型,风险警戒标准模型以及风险警戒状态模型。验证结果表明:所建模型对风险要素的评价与实际情况较为吻合。

可量化的信息系统安全性水平评估

为合理反映信息系统的整体安全状况,考虑现有的只对某一单项资产进行评估的信息安全风险评估方法存在的不足,建立信息系统整体风险评估的指标体系。采用基于可拓关联度的多级模糊评价的方法,对风险等级采取相应的量化,定性定量地得出风险值和其所属的风险等级。实例验证结果表明,该方法可以挖掘单项资产风险点和各个安全层面的安全状况,实现了从整体角度把握信息系统安全性水平,便于进行风险管理。

考虑成本、等待时间和安全水平的分类安检模式研究

近年来,随着民航机场旅客吞吐量快速增加,机场安检部门的工作压力正不断加大,旅客等待时间也正在逐渐增加。针对该问题,引入了分类安检模式。然而,分类安检模式通常需要额外的投资成本,可能会产生较大的财务负担。因此,以成本为目标,综合考虑旅客等待时间和安全水平的要求,研究了分类安检模式和传统安检模式的比较以及最优决策性质等相关问题。首先,考虑安全水平和旅客等待时间的约束,分别为传统安检模式和分类安检模式建立了模型,并分析了其最优运营决策性质。其次,从成本的角度,对两种安检模式做了比较研究。研究结果表明,当旅客数量多、安检犯错容忍度较高或旅客等待敏感时,分类安检模式比传统安检模式表现更优;反之,传统安检模式更优。此外,在分类安检模式中,分配到高风险安检通道的旅客比例存在一个最优值,并且其通常在20%到30%之间取到。最后,通过数值分析验证了分类安检模式的最优服务配置。