(1)ISO27001 信息安全風(fēng)險的含義
風(fēng)險是指一定條件下和一定時期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性,即強調(diào)風(fēng)險發(fā)生的不確定性,又強調(diào)風(fēng)險損失的不確定性。
澳大利亞/新西蘭國家標(biāo)準(zhǔn) AS/NZS 4360 把信息安全風(fēng)險定義為“對目標(biāo)產(chǎn)生影響的某種事件發(fā)生的機會,可以用后果和可能性來衡量(Risk: thechance of something happening that will have on impact upon objectives. It ismeasured in terms of consequences and likelihood.)”。
在ISO13335-1 中,定義信息安全風(fēng)險為“一定威脅利用單個或一組資產(chǎn)的脆弱性并造成資產(chǎn)丟失或損毀的可能性(Risk: the potential that a giventhreat will exploit vulnerabilities of an asset or group of assets to cause loss ordamage to the assets)”。
(2)ISO27001信息安全風(fēng)險特征
信息安全本身已發(fā)展成為涉及數(shù)學(xué)、通訊、計算機、管理及工程等多學(xué)科的復(fù)雜系統(tǒng),面臨的安全風(fēng)險種類繁多,各種風(fēng)險之間的相互關(guān)系錯綜復(fù)雜,具有以下特征:
① 客觀性和不確定性。信息安全風(fēng)險客觀存在于信息系統(tǒng)的各個層次和生命周期的各個階段,并隨著各種不確定因素的不斷變化而呈現(xiàn)不確定性。
② 多層次性和多樣性。信息安全風(fēng)險作用層面包括物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、系統(tǒng)層和應(yīng)用層,具有多層次性;風(fēng)險包括技術(shù)風(fēng)險、管理風(fēng)險和環(huán)境風(fēng)險等,又具有多樣性。
③ 可變性和動態(tài)性。信息安全風(fēng)險在其生命期內(nèi)動態(tài)變化,具有可變性;同時在信息系統(tǒng)生命周期的不同階段呈現(xiàn)出不同的風(fēng)險,具有多樣性。
④ 可測性。風(fēng)險雖然呈現(xiàn)出不確定性,但可用各種定性和定量的風(fēng)險方法對風(fēng)險進行預(yù)測和衡量。
共有條評論 網(wǎng)友評論