威胁建模白皮书-2025.pdfVIP

ISACA.

威胁建模白皮书

COOCOOC

CQOCQOOQ

信息安全2025ISACA，保留所有权利，

或助建模自良书

目录

4引言

4／或时建模的价伯

5威肘建模的五个步瑟

5，第一步：明确业务日标，界定建模范雨

5／第二步：绘制兆务牛态图

6，第三步：识别并优先处理或助

6，第四步：制定声对策路

7：第五步：中查、验江与持凌迭代

7战路考量

8，培育重视安全，以风险为导向的文化ISACA

8／高管层的威建模

8整合全局

9，从他人的错误中学习

9/如何让高管团队态与威胁理模

10CISO、CIO与威胁建模

10/给CISO和CIO的三个实用策路

10/1.游风验ACIS0战路

10/2.融力CIO实稳任增长88ISACA

11/3推动CIS0与CIO核向，打造真正韧性

11/企业如向限上节套？

11让威胁建模真正落地

11／1.从小处若手，保持专注

12／2.聚焦真正重要的感时

12/3.将风,除转化为实际改进

1214.实施持续的或建模

13不同行业的威胁建模

13结语

14致谢

92025ISACA，误留所有利

或助建模自良书

ISAC

摘要

本白皮书将威脉建模视为一种务实的方法，帮助组织识别潜在的网落安全风险。通过威胁建模，企业能够在

保护核心资产的背量下，系统地识别，评估并沟通类感小及出对措施。本文特别适合企业高管，首席信息

要全官（C0以及要全团队阅读。宽所建模的价值在于，将要全工作与业务核心累密连接，次而帮助企业

避免代价高品的安全事件，守护自身成功，声誉和市场地位，自皮书中提供了具体可行的步紧，帮助读者主

动发现落在问题，在风险演变为实际损失之前及时应对，真正实现防患于木然，

89ISAC

ISACA

BSISACA

2025ISACA,饿MF我利

成助建模自区书

引言威胁建模的价值

如个。许多企非仅做最低限度的防护，被动接受发

生数据泄密的可能性。1于应对漏洞的工具和实践

感时建模是企业以黑容思鲜评估自身架构、系统和资

产的过程。某人如问能在没有合法凭证的情况下访问包括防火墙、入侵恰测系统，加密术、定期更新

该系统？如果第三方以批判的眼光审视企业的系统和和补丁的组合，同时构建拟深防御的安全体系。常

见的网络安全标准如支付卡行业据安全标准（PC

资产，其中存在哪些明显的漏洞？威助建模足一种切

实可行且程圾丰动的方式，使企业能够掌控自身的图DSS】2纫约州金跑服务部法如3以及伴质保险可

络安全，做山明智决策并合理确定优先事项。本文可祺性和贡任法牵