@时光机
3年前 提问
1个回答

信息安全风险评估的基本要素有什么

Anna艳娜
3年前

信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。

  • 使命:一个组织机构通过信息化形成的能力要来进行的工作任务。

  • 依赖度:一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高,风险评估的任务就越重要。

  • 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

    • 价值:资产在重要程度或敏感程度上的表现特征。
  • 威胁:一般指会对系统或组织造成不良后果的不希望事故潜在起因。

  • 脆弱性:可能被威胁所利用的资产或若干资产的脆弱环节。通常脆弱性也被称作是弱点或漏洞。威胁是外因,脆弱性是内因,威胁只有通过利用脆弱性才能造成安全事件。

  • 风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量的。风险是在考虑实践发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数,前者指威胁源利用一个潜在的脆弱性的可能性,后者指不利事件对组织机构产生的影响。

  • 残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。

  • 安全需求:为保证信息资产正常的工作,在信息安全保障措施方面提出的要求。

  • 安全保障措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。