信息安全风险评估
定义
一个特定的威胁利用一个或一组信息资产技术或管理中的弱点导致资产(或业务)损失或者破坏的潜在可能性。利用既定的方法,对组织的信息资产所面临的信息安全风险,系统地进行分析和评价的整个过程。
相关术语
1)威胁:是潜在的能导致信息安全风险事件并对组织及其资产造成损害的活动。它可以通过IT系统或者服务,直接或间接地作用于信息系统,并导致非授权破坏、泄露、 修改、损坏、不可用的损失。威胁必须利用资产固有的脆弱性才能完成对资产的损害,它可能来自人为的或非人为的、可能是故意或无意的、可能是来自环境的威胁。
2)脆弱性:是资产在与其相关的物理环境、组织、策略、人员、管理、监控、硬件、软件和信息方面所固有的弱点。脆弱性是最有可能被威胁利用并造成对组织信息系统和业务目标的损害。
3)风险:是一定威胁利用资产脆弱性造成组织损失或破坏的潜在程度。它是由风险事件发生的可能性和它的影响来决定。任何资产、威胁、脆弱性和安全防护措施的变化都能对风险产生重要的影响。及时检测或确定信息系统及其环境的变化,采取适当的措施,可以降低风险。
4)影响:是风险事件发生,对资产造成的后果,使一定资产或信息系统的机密性、完整性、可用性、不可否认、可审计性、真实性和可靠性遭到破坏。
5)安全防护措施:是抵抗威胁、减少脆弱性、限制风险事件影响、检测风险事件和恢复的安全实践、策略和机制。有效的安全是在资产的多个层面提供安全防护措施,来预防、阻止、检测、限制、纠正、恢复、监视安全事件。
6)残留风险:风险不可能完全消除,有些风险由于安全成本问题,在满足组织安全需求的前提下,成