91天美麻豆视频,国产精品久久久久久影视国产福利一区二区91 ,日韩中文字幕亚洲一区二区

歡迎訪問(wèn)北京卓越同舟咨詢有限公司,！提供iso認(rèn)證,，質(zhì)量體系認(rèn)證,，售后服務(wù)認(rèn)證,，信息安全認(rèn)證,，業(yè)務(wù)連續(xù)性認(rèn)證,，食品安全體系認(rèn)證服務(wù),！

設(shè)為首頁(yè) 丨加入收藏

國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)

批準(zhǔn)號(hào)：CNCA-Z-01Q-2006-038

聯(lián)系電話

全國(guó)：010-56542716

天津：022-27810977

常見(jiàn)問(wèn)題&知識(shí)園地

信息安全管理體系

您當(dāng)前所在位置：首頁(yè) > 常見(jiàn)問(wèn)題&知識(shí)園地 > 信息安全管理體系

以資產(chǎn)為核心的信息安全風(fēng)險(xiǎn)的構(gòu)成要素

發(fā)布時(shí)間： 2019-04-24 07:04:10

ISO27001信息安全風(fēng)險(xiǎn)的構(gòu)成要素：以資產(chǎn)為核心的信息安全風(fēng)險(xiǎn)的構(gòu)成要素

1993年,，英國(guó)、法國(guó),、德國(guó),、荷蘭歐共體同加拿大、美國(guó) NIST 和 NSA六國(guó)七方組成CC工作組,，制定了國(guó) 際通用的評(píng)估準(zhǔn)則——CC（CommonCriteria）,。并于1996年頒布了CC1.0版，1998年頒布了CC2.0版,。1999 年6月,，ISO接納CC2.0版為 ISO/IEC15408草案，并定名為“信息技術(shù)-安全技術(shù)-IT安全性評(píng)估準(zhǔn)則”,，但仍用 CC作為其簡(jiǎn)稱,。1999年12月，在廣泛征求意見(jiàn)并進(jìn)行修改后,，正式頒布國(guó)際標(biāo)準(zhǔn) ISO/IEC 15408 CC 2.1 版,。 2001年3月，我國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局將其作為國(guó)家標(biāo)準(zhǔn)GB/T18336正式頒布,，并于 2001年正式實(shí)施,。

CC 標(biāo)準(zhǔn)含三個(gè)部分：第一部分：簡(jiǎn)介和一般模型；第二部分：安全功能要求,；第三部分：安全保證要求,。其中在第一部分，定義了信息安全風(fēng)險(xiǎn)的構(gòu)成要素威脅,、風(fēng)險(xiǎn),、脆弱性、資產(chǎn),、對(duì)策等關(guān)鍵的風(fēng)險(xiǎn)要素概念和它們所涉及到的主體即所有者和威脅主體,。根據(jù) CC 的思想,，以所有者要保護(hù)的資產(chǎn)作為核心，給出了威脅,、風(fēng) 險(xiǎn),、脆弱性、對(duì)策與資產(chǎn)之間的關(guān)系,，如下圖：

圖 CC風(fēng)險(xiǎn)要素和關(guān)系

（1）風(fēng)險(xiǎn)要素

① 資產(chǎn)

資產(chǎn)是有價(jià)值的信息資產(chǎn),。

② 對(duì)策

對(duì)策是用以減少脆弱性并滿足資產(chǎn)所有者的安全策略。

③ 威脅

能夠通過(guò)未授權(quán)訪問(wèn),、毀壞,、揭露、數(shù)據(jù)修改和拒絕服務(wù)對(duì)系統(tǒng)造成潛在危害的任何環(huán)境或事件,。

④ 脆弱性

在信息系統(tǒng),、系統(tǒng)安全程序、管理控制,、物理設(shè)計(jì),、內(nèi)部控制或?qū)崿F(xiàn)中存在的，可能被攻擊者利用來(lái)獲得未授權(quán)的信息或破壞關(guān)鍵處理的弱點(diǎn),。

⑤ 風(fēng)險(xiǎn)

風(fēng)險(xiǎn)是由威脅發(fā)生的可能性,、威脅所導(dǎo)致的不利影響以及影響的嚴(yán)重程度來(lái)決定。

（2）風(fēng)險(xiǎn)要素關(guān)系

① 信息資產(chǎn)的所有者給資產(chǎn)賦予了一定的價(jià)值,，威脅主體希望以違背所有者初衷的方式濫用和破壞資產(chǎn),。資產(chǎn)所有者意識(shí)到這種威脅可能致使資產(chǎn)損壞，對(duì)所有者而言資產(chǎn)中的價(jià)值將會(huì)降低,。其中資產(chǎn)的安全性損壞包括以下幾種：資產(chǎn)破壞性地暴露于未授權(quán)的接受者（喪失保密性）,；資產(chǎn)由未授權(quán)地更改損壞（喪失完整性）；資產(chǎn)的訪問(wèn)權(quán)被未授權(quán)地剝奪（喪失可用性）,。

② 資產(chǎn)所有者必須分析可能的威脅并確定哪些存在于他們的環(huán)境,，其結(jié)果就是風(fēng)險(xiǎn)。這種分析會(huì)有助于對(duì)策的選擇,，以應(yīng)對(duì)風(fēng)險(xiǎn)并將其降低到一個(gè)可接受的水平,。

③ 對(duì)策的使用可以減少脆弱性，但殘留的脆弱性仍可以被威脅者所利用,，從而造成資產(chǎn)的殘余風(fēng)險(xiǎn),。資產(chǎn)所有者會(huì)通過(guò)給出其它的約束來(lái)尋求最小的殘余的風(fēng)險(xiǎn)。

返回上一級(jí)

公司地址：北京市通州區(qū)磚廠北里154號(hào)金隅創(chuàng)客+905室郵編：101121 電話：：傳真：：010-56542750 京ICP備12042316號(hào)-1

市場(chǎng)部：：[email protected] 網(wǎng)站運(yùn)營(yíng)部：：[email protected]提供iso認(rèn)證,，質(zhì)量體系認(rèn)證，售后服務(wù)認(rèn)證,，信息安全認(rèn)證,，業(yè)務(wù)連續(xù)性認(rèn)證,，食品安全體系認(rèn)證服務(wù)！