1. 風(fēng)險(xiǎn)雕憔、信息安全風(fēng)險(xiǎn)的概念
風(fēng)險(xiǎn):指事態(tài)的概率及其結(jié)果的組合
信息安全風(fēng)險(xiǎn):指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)送及其組織造成的影響。(例如:棱鏡門事件)
2. 風(fēng)險(xiǎn)的構(gòu)成
包括五個(gè)方面:起源(威脅源)身笤、方式(威脅行為)豹悬、途徑(脆弱性)、受體(資產(chǎn))和后果(影響)
3. 風(fēng)險(xiǎn)相關(guān)術(shù)語
資產(chǎn):任何對(duì)組織有價(jià)值的東西液荸,是要保護(hù)的對(duì)象瞻佛,以多種形式存在(多種分類方法):
①物理:計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)介質(zhì)等
②邏輯:體系結(jié)構(gòu)娇钱、通信協(xié)議伤柄、計(jì)算程序和數(shù)據(jù)文件等
③硬件 ④軟件
⑤有形、無形:品牌文搂、名譽(yù)等
⑥靜態(tài):設(shè)施适刀、規(guī)程等
⑦動(dòng)態(tài):人員和過程、技術(shù)和管理等煤蹭。威脅:可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因笔喉,是引起風(fēng)險(xiǎn)的外因。威脅源采取適當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)疯兼。
常見的威脅源:操作失誤然遏、濫用授權(quán)贫途、行為抵賴吧彪、身份假冒、口令攻擊丢早、密鑰分析姨裸、漏洞利用秧倾、拒絕服務(wù)、竊取數(shù)據(jù)傀缩、物理破壞那先、社會(huì)工程等。脆弱性:可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)赡艰,是造成風(fēng)險(xiǎn)的內(nèi)因售淡。脆弱性本身不對(duì)資產(chǎn)構(gòu)成危害,會(huì)被威脅源利用慷垮,從而對(duì)信息資產(chǎn)造成危害
比如:系統(tǒng)程序代碼缺陷揖闸、系統(tǒng)安全配置錯(cuò)誤、系統(tǒng)操作流程有缺陷料身、維護(hù)人員安全意識(shí)不足汤纸。可能性:某件事發(fā)生的機(jī)會(huì),代表威脅源利用脆弱性造成不良后果的機(jī)會(huì)
4. 風(fēng)險(xiǎn)的概念
風(fēng)險(xiǎn):威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性
即威脅源采取威脅方式利用脆弱性造成風(fēng)險(xiǎn)芹血。
5. 信息安全審計(jì)
是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)贮泞,對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性幔烛、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程啃擦。
是揭示信息安全風(fēng)險(xiǎn)的最佳手段,改進(jìn)信息安全現(xiàn)狀的有效途徑说贝,滿足信息安全合規(guī)要求的有效方式议惰。
