2016信息安全评估总结.pptVIP

风险的定义 ◆普通字典中风险：遭受损害或损失的可能性。 ◆ AS/NZS 4360（澳大利亚/新西兰国家标准） 风险：对目标产生影响的某种事件发生的机会。它可以用后果 和可能性来衡量 Risk: the chance of something happening that will have on impact upon objectives. It is measured in terms of consequences and likelihood. ◆ ISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组 织的资产损失或损害的可能性。 Risk: the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets. 风险的定义 信息安全的三个特征： 机密性：确保只有被授权的人才可以访问信息； 完整性：确保信息和信息处理方法的准确性和完整性； 可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。 风险的要素 风险的要素 风险的要素 风险的要素 风险的要素 网络不安全因素描述 不安全因素定义： 可能对资产或组织造成损害事故的威胁