面向任务的信息安全风险的构成要素

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

发布时间： 2018-04-18 14:50:38

根据系统论的原理，系统的运行机制、发挥的功能、输入或输出的内容、程序与方法都应该服从系统的总任务。信息系统也是如此，它的风险状况最终会影响组织的任务的实现，如果风险超越组织的承受能力，则会阻碍或破坏组织任务的实现，有时会影响到组织的生存。基于此点，本文提出了面向任务的信息安全风险的构成要素，如下图。

面向任务的信息安全风险的构成要素

信息安全风险的构成要素：任务、资产、威胁、脆弱性、影响、安全控制和风险。它们之间的关系如下：

（1）资产是对组织有价值的信息和信息系统，资产拥有者通过对资产的保护，完成组织的任务。

（2）信息资产环境或其自身存在的脆弱性，它本身不对信息资产构成危害，只是在一定条件满足时，脆弱性才能被威胁利用而导致风险的发生，对组织资产造成负面影响。

（3）信息资产在达成组织任务中面临的来自不同威胁源的威胁，可能导致信息安全事件或信息资产损失。

（4）为保护信息资产免受损失而采取的安全控制，可以减少脆弱性，减少风险发生时的影响，阻止、减少、转移和避免风险的发生，保护资产免遭损失；

（5）影响是威胁利用脆弱性而造成系统功能和价值损害的后果。

返回上一级