(1)ISO27001 信息安全風險的含義
風險是指一定條件下和一定時期內可能發生的不利事件發生的可能性,即強調風險發生的不確定性,又強調風險損失的不確定性。
澳大利亞/新西蘭國家標準 AS/NZS 4360 把信息安全風險定義為“對目標產生影響的某種事件發生的機會,可以用后果和可能性來衡量(Risk: thechance of something happening that will have on impact upon objectives. It ismeasured in terms of consequences and likelihood.)”。
在ISO13335-1 中,定義信息安全風險為“一定威脅利用單個或一組資產的脆弱性并造成資產丟失或損毀的可能性(Risk: the potential that a giventhreat will exploit vulnerabilities of an asset or group of assets to cause loss ordamage to the assets)”。
(2)ISO27001信息安全風險特征
信息安全本身已發展成為涉及數學、通訊、計算機、管理及工程等多學科的復雜系統,面臨的安全風險種類繁多,各種風險之間的相互關系錯綜復雜,具有以下特征:
① 客觀性和不確定性。信息安全風險客觀存在于信息系統的各個層次和生命周期的各個階段,并隨著各種不確定因素的不斷變化而呈現不確定性。
② 多層次性和多樣性。信息安全風險作用層面包括物理層、鏈路層、網絡層、傳輸層、系統層和應用層,具有多層次性;風險包括技術風險、管理風險和環境風險等,又具有多樣性。
③ 可變性和動態性。信息安全風險在其生命期內動態變化,具有可變性;同時在信息系統生命周期的不同階段呈現出不同的風險,具有多樣性。
④ 可測性。風險雖然呈現出不確定性,但可用各種定性和定量的風險方法對風險進行預測和衡量。
共有條評論 網友評論