风险要素相互间的关系

2.1.3　风险要素相互间的关系

资产、威胁、脆弱点是信息安全风险的基本要素，是信息安全风险存在的基本条件，缺一不可。除此之外，与信息安全风险有关的要素还包括：安全措施、安全需求、影响等。ISO/IEC 13335－1对它们之间的关系描述如图2－1所示，主要表现在：

（1）威胁利用脆弱点将导致安全风险的产生；

（2）资产具有价值，并对组织业务有一定影响，资产价值及影响越大则其面临的风险越大；

（3）安全措施能抵御威胁、减少脆弱点，因而能减少安全风险；

（4）风险的存在及对风险的认识导出保护需求，保护需求通过安全措施来满足或实现。

图2－1　风险要素及其相互关系

我国的《信息安全风险评估指南》对ISO/IEC 13335－1提出的风险要素关系模型进行了扩展，扩展后的风险要素关系模型如图2－2所示。

图2－2中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。风险要素及属性之间存在着以下关系：

（1）业务战略依赖资产去实现；

（2）资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；

（3）资产价值越大则其面临的风险越大；

（4）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；

图2－2　风险要素及其相互间的关系

（5）弱点越多，威胁利用脆弱点导致安全事件的可能性越大；

（6）脆弱点是未被满足的安全需求，威胁要通过利用脆弱点来危害资产，从而形成风险；

（7）风险的存在及对风险的认识导出安全需求；

（8）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；

（9）安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；

（10）风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，有些残余风险来自于安全措施可能不当或无效，在以后需要继续控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；

（11）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

与ISO/IEC 13335提供的风险要素关系模型相比，我国《信息安全风险评估指南》对安全风险的描述更详细、更具体、更透彻。