ISO27001信息安全风险的构成要素:面向任务的信息安全风险的构成要素
根据系统论的原理,系统的运行机制、发挥的功能、输入或输出的内容、程序与方法都应该服从系统的总任务。信息系统也是如此,它的风险状况最终会影响组织的任 务的实现,如果风险超越组织的承受能力,则会阻碍或破坏组织任务的实现,有时会影响到组织的生存。基于此点,本文提出了面向任务的信息安全风险的构成要素,如下图。
面向任务的信息安全风险的构成要素
信息安全风险的构成要素:任务、资产、威胁、脆弱性、影响、安全控制和风险。它们之间的关系如下:
(1)资产是对组织有价值的信息和信息系统,资产拥有者通过对资产的保护,完成组织的任务。
(2) 信息资产环境或其自身存在的脆弱性,它本身不对信息资产构成危害,只是在一定条件满足时,脆弱性才能被威胁利用而导致风险的发生,对组织资产造成负面影响。
(3)信息资产在达成组织任务中面临的来自不同威胁源的威胁,可能导致信息安全事件或信息资产损失。
(4)为保护信息资产免受损失而采取的安全控制,可以减少脆弱性,减少风险发生时的影响,阻止、减少、转移和避免风险的发生,保护资产免遭损失;
(5)影响是威胁利用脆弱性而造成系统功能和价值损害的后果。
