3.1資產(chǎn)asset
【內(nèi)容解析】
1.資產(chǎn)是對組織有價值的任何東西,說明其能為所擁有或獲得的組織創(chuàng)造財富。因此需要保護。資產(chǎn)識別時,應(yīng)該牢記的是,資產(chǎn)不僅僅包含硬件和軟件。
2.根據(jù)資產(chǎn)擁有者的情況,資產(chǎn)的擁有者可以是組織,也可以是個人。
3.資產(chǎn)可分為以下幾種:
1)信息,例如:文檔和數(shù)據(jù)等;
2)軟件和系統(tǒng),例如:應(yīng)用軟件、系統(tǒng)軟件等;
3)硬件和設(shè)施,例如:存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、保障設(shè)備等;
4)服務(wù)和其他,例如:IT服務(wù)、無形資產(chǎn)等;
5)人力資源,例如:涉密人員、特殊人員等。
3.2可用性 Availability
【內(nèi)容解析】
1.可用性的目的是讓所有合法用戶能夠使用到已授權(quán)的信息和功能。可用性通常用百分率表示,公式為:{(規(guī)定服務(wù)時間-因意外中斷時間)/規(guī)定服務(wù)時間}×100%。例如:99.9%。
2.其與保密性(Confidentiality)和完整性(Intergeity)并稱為信息安全的CIA三要素。
3.3保密性 Confidentiality
【內(nèi)容解析】
保密性指數(shù)據(jù)、文檔以及網(wǎng)絡(luò)信息等不被泄露給非授權(quán)的用戶、實體或過程。強調(diào)信息只為授權(quán)用戶使用的特征。保密性是在可靠性和可用性基礎(chǔ)之上,保障信息安全的重要手段。常用的保密技術(shù):
1)物理保密:利用各種物理方法,如限制、隔離、掩蔽、控制等措施,保護信息不被泄露。
2)防竊聽:使對手偵察、接收不到有用的信息。
3)防輻射:防止有用信息以各種途徑輻射出去。
4)信息加密:在密鑰的控制下,用加密算法對信息進行加密處理。即使對手得到了加密后的信息也會因為沒有密鑰而無法讀懂有效信息。
3.4信息安全 Information Security
【內(nèi)容解析】
1.信息安全的目的是保證信息的保密性、完整性、可用性、真實性、可核查性等。保密性、完整性和可用性構(gòu)成了信息安全的 CIA三要素。
2.信息安全是個相對的概念。沒有絕對的信息安全。
3.5信息安全事態(tài) Information Security Event
【內(nèi)容解析】
1.有害或意外的信息安全事態(tài)是引發(fā)信息安全事件的源頭。
2.信息安全事態(tài)發(fā)生后可能會造成信息安全事件,也可能未造成信息安全事件。
3.信息安全事態(tài)可能由一個原因?qū)е碌模部赡苡啥鄠€原因?qū)е碌摹?/p>
3.6信息安全事件 Information Security Incident
【內(nèi)容解析】
1.一個或多個有害的或者意外信息安全事態(tài)是導致信息安全事件的源頭。
2.事件發(fā)生后,根據(jù)事件的影響程度,可分為一般事件和重大事件。根據(jù)信息安全事件的影響程度,對信息安全事件做出最恰當和最有效的響應(yīng)。
3.盡管信息安全事態(tài)可能是意外或故意違反信息安全防護措施的企圖的結(jié)果,但在多數(shù)情況下,信息安全事態(tài)本身并不意味著破壞安全的企圖真正獲得了成功,因此也并不一定會對盋芐浴⑼暾院?或可用性產(chǎn)生影響。也就是說,并非所有信息安全事態(tài)都會被歸類為信息安全事件。
3.7信息安全管理體系(ISMS) Information Security management system(ISMS)
【內(nèi)容解析】
1.信息安全管理體系是組織管理體系的一個組成部分。其目的是為了保護資產(chǎn)的安全。
2.信息安全管理體系基于整體業(yè)務(wù)活動風險。
3.信息安全管理體系與其他管理體系一樣,采用過程方法,PDCA的模型。支持與相關(guān)管理標準一致的、協(xié)調(diào)的實施和運行。
3.8完整性 Integrity
【內(nèi)容解析】
完整性指的是防止未授權(quán)的更改和篡改。包含非授權(quán)的增加、減少或破壞。例如:在原有源代碼中非授權(quán)加入代碼,或者在原有源代碼中非授權(quán)裁剪或非授權(quán)修改了一部分代碼,均視為破壞完整性的行為。
3.9殘余風險 Residual risk
【內(nèi)容解析】
1.殘余是指處理后剩余的風險。即沒有達到風險接受準則的風險。
2.殘余風險的危害程度一般大于原有風險。所以在接受殘余風險時,需獲得管理者對建議的殘余風險的批準。
3.10風險接受 risk acceptance
【理解要點】
組織確定風險程度可接受的決定。在明顯滿足組織方針策略和接受風險的準則的條件下,有意識地、客觀地接受風險。
3.11風險分析 risk analysis
【內(nèi)容解析】
1.風險識別的目的是決定什么發(fā)生可能會造成潛在損失,并深入了解損失可能如何、何地、為什么發(fā)生。
2.風險識別包括:威脅識別、脆弱性識別、后果識別和現(xiàn)有控制措施的識別。
a)威脅識別:威脅有可能損害資產(chǎn),諸如信息、過程、系統(tǒng)甚至組織。威脅的來源可能是自然的或人為的,可能是意外的或是故意的。也可能來自組織內(nèi)部或外部。所以對整體并按類型(如未授權(quán)行為,物理損害,技術(shù)故障)識別威脅意味著沒有威脅被忽視,包括突發(fā)的威脅。
b)脆弱性識別:脆弱性本身不會產(chǎn)生危害,只有被某個威脅利用時才會產(chǎn)生危害。沒有相應(yīng)威脅的脆弱性可能不需要實施控制措施,但是應(yīng)關(guān)注和監(jiān)視其變化。
c)后果識別:后果可能是喪失有效性、不利運行條件、業(yè)務(wù)損失、聲譽破壞等。資產(chǎn)受到損害時,后果可能是臨時性的,也可能是永久的。
d)現(xiàn)有控制措施識別:為避免不必要的工作或成本,如,重復的控制措施。此外,識別現(xiàn)有的控制措施時,進行檢查以確保控制措施在正確運行是非常必要的活動。
3.在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下,評估安全失效可能造成的對組織的影響。
4.根據(jù)主要的威脅和脆弱性、對資產(chǎn)的影響以及當前所實施的控制措施,評估安全失效發(fā)生的現(xiàn)實可能性。
5.估計風險級別。
3.12風險評估 risk assessment
【內(nèi)容解析】
1.對信息和信息處理設(shè)施的威脅、脆弱性和影響及三者發(fā)生的可能性的評估。
2.風險評估也就是確認安全風險及其大小的過程,即利用適當?shù)娘L險評估工具,包括定性和定量的方法,確定資產(chǎn)風險等級和優(yōu)先控制順序。
3.風險評估確定了信息資產(chǎn)的價值,對存在(或可能存在的)適用的威脅和脆弱性進行識別,考慮現(xiàn)有的控制措施及其對已識別風險的影響,確定潛在的后果。
4.對確定的風險根據(jù)緊急度和影響度進行優(yōu)先級排序,并按照背景建立時確定的風險準則劃分等級。
3.13風險評價 risk evaluation
【內(nèi)容解析】
1.風險評價是綜合考慮信息安全事件的影響和發(fā)生可能性而得出的風險的級別。確定風險是否可接受,通常將風險分為:不可接受風險、有條件可接受風險(需要關(guān)注)、可接受風險。
2.在需要時,根據(jù)建立的風險準則進行處理。
3.14風險管理 risk management
【內(nèi)容解析】
1.以可以接受的方式識別、控制、降低或規(guī)避和轉(zhuǎn)移可能影響信息系統(tǒng)的安全風險過程。
2.風險管理一般包括建立背景、風險評估、風險處理、風險接受和風險溝通。
3.通過風險評估來分析和評價風險。
4.通過制定信息安全方針,采用適當?shù)目刂颇繕撕涂刂品绞綄︼L險進行控制和降低。
5.風險管理的目的是使風險被降低、規(guī)避、轉(zhuǎn)移或降至一個可能接受的水平。
3.15風險處置 risk treatment
【內(nèi)容解析】
風險處置的有效性取決于風險評估結(jié)果。風險處置有可能不能立即達到一個可接受水平的殘余風險。在這種情況下,如果必要,可能需要另一個改變了背景參數(shù)(例如,風險評估、風險接受或影響的準則)的風險評估迭代,接下來做進一步的風險處置。
風險處置的四種方式:
1)風險降低:為降低風險發(fā)生的可能性和/或不利后果所采取的行動。例如:采取糾正、消除、預(yù)防、影響最小化、威懾、檢測、恢復、監(jiān)視和意識等措施。
2)風險規(guī)避:對新技術(shù)或不能控制風險的活動,不采用該活動的方式。例如:避免采用新技術(shù)等。
3)風險轉(zhuǎn)移:與另一方共享由風險帶來的損失或收益。對于信息安全風險而言,風險轉(zhuǎn)移僅考慮不利的后果(損失)。例如:保險、供應(yīng)商等。
4)風險保留:也稱“風險接受”,組織確定風險程度可接受的決定。在明顯滿足組織方針策略和接受風險的準則的條件下,有意識地、客觀地接受風險。
3.16適用性聲明 Statement of applicability
【內(nèi)容解析】
1.適用性聲明提供了一份關(guān)于風險處置決定的綜述。證明不會因疏忽而遺漏控制措施。
2.適用性聲明包含當前實施的控制目標和控制措施。
3.適用性聲明是一個包含組織所選擇的控制目標和控制措施的文件,以及選擇的理由。如果對該標準附錄A中任何控制目標和控制措施的刪減,應(yīng)在適用性聲明中說明刪減的合理性。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商,法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
