ISO27001信息安全風(fēng)險(xiǎn)的含義和特征

2019/3/8 15:22:00 次

　　(1)ISO27001 信息安全風(fēng)險(xiǎn)的含義

　　風(fēng)險(xiǎn)是指一定條件下和一定時(shí)期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性，即強(qiáng)調(diào)風(fēng)險(xiǎn)發(fā)生的不確定性，又強(qiáng)調(diào)風(fēng)險(xiǎn)損失的不確定性。

　　澳大利亞/新西蘭國(guó)家標(biāo)準(zhǔn) AS/NZS 4360 把信息安全風(fēng)險(xiǎn)定義為“對(duì)目標(biāo)產(chǎn)生影響的某種事件發(fā)生的機(jī)會(huì)，可以用后果和可能性來(lái)衡量(Risk: thechance of something happening that will have on impact upon objectives. It ismeasured in terms of consequences and likelihood.)”。

　　在ISO13335-1 中，定義信息安全風(fēng)險(xiǎn)為“一定威脅利用單個(gè)或一組資產(chǎn)的脆弱性并造成資產(chǎn)丟失或損毀的可能性(Risk: the potential that a giventhreat will exploit vulnerabilities of an asset or group of assets to cause loss ordamage to the assets)”。

　　(2)ISO27001信息安全風(fēng)險(xiǎn)特征

　　信息安全本身已發(fā)展成為涉及數(shù)學(xué)、通訊、計(jì)算機(jī)、管理及工程等多學(xué)科的復(fù)雜系統(tǒng)，面臨的安全風(fēng)險(xiǎn)種類繁多，各種風(fēng)險(xiǎn)之間的相互關(guān)系錯(cuò)綜復(fù)雜，具有以下特征：

　?、?客觀性和不確定性。信息安全風(fēng)險(xiǎn)客觀存在于信息系統(tǒng)的各個(gè)層次和生命周期的各個(gè)階段，并隨著各種不確定因素的不斷變化而呈現(xiàn)不確定性。

　?、? 多層次性和多樣性。信息安全風(fēng)險(xiǎn)作用層面包括物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、系統(tǒng)層和應(yīng)用層，具有多層次性;風(fēng)險(xiǎn)包括技術(shù)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和環(huán)境風(fēng)險(xiǎn)等，又具有多樣性。

　　③ 可變性和動(dòng)態(tài)性。信息安全風(fēng)險(xiǎn)在其生命期內(nèi)動(dòng)態(tài)變化，具有可變性;同時(shí)在信息系統(tǒng)生命周期的不同階段呈現(xiàn)出不同的風(fēng)險(xiǎn)，具有多樣性。

　　④ 可測(cè)性。風(fēng)險(xiǎn)雖然呈現(xiàn)出不確定性，但可用各種定性和定量的風(fēng)險(xiǎn)方法對(duì)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和衡量。