【摘要】:例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。如员工缺乏信息安全意识、使用简短易被猜测的口令、操作系统本身有安全漏洞等。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性的评估。风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定资产风险等级和优先控制顺序。
4.1.1 与风险评估相关的概念
资产(Asset),任何对组织有价值的事物。
威胁(Threat),指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。如员工缺乏信息安全意识、使用简短易被猜测的口令、操作系统本身有安全漏洞等。威胁是利用脆弱点而对资产或组织造成损害的,资产、威胁和脆弱点对应关系,如图4-1所示。
图4-1 资产、威胁和脆弱点对应关系
风险(Risk),特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。
风险评估(Risk Assessment),对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性的评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定资产风险等级和优先控制顺序。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
