东莞 ISO27001认证以资产为核心的信息安全风险的构成要素
(1)风险要素
① 资产
资产是有价值的信息资产。
② 对策
对策是用以减少脆弱性并满足资产所有者的安全策略。
③ 威胁
能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。
④ 脆弱性
在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的,可能被攻击者利用来获得未授权的信息或破坏关键处理的弱点。
⑤ 风险
风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。
(2)风险要素关系
① 信息资产的所有者给资产赋予了一定的价值,威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏,对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包括以下几种:资产破坏性地暴露于未授权的接受者(丧失保密性);资产由未授权地更改损坏(丧失完整性);资 产的访问权被未授权地剥夺(丧失可用性)。
② 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境,其结果就是风险。这种分析会有助于对策的选择,以应对风险并将其降低到一个可接受的水平。
③ 对策的使用可以减少脆弱性,但残留的脆弱性仍可以被威胁者所利用,从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。
