ISO27001信息安全風險的構成要素:面向安全工程過程的信息安全風險的構成要素
1996年,美國國家安全局公布了SSE-CMM的第一個版本,1999年4月又公布了新的版本,系統(tǒng)安全工程能力成熟度模型(System SecurityEngineering-Capability Maturity Model,SSE-CMM)。在SSE-CMM 系統(tǒng)安全工程能力成熟度模型框架中,把安全工程應用到信息系統(tǒng)的開發(fā)、集成、操作、管理、維護和進化以及產品的開發(fā)、交付和進化,使安全工程在一個系統(tǒng)、 一個產品或一個服務中得到實現(xiàn)。
SSE-CMM 將安全工程劃分為三個基本的過程域:風險,工程,保證。
這三個過程域之間可獨立加以考慮,但它們之間也是相互作用,共同達到安全目標。而每一個過程域包括一組集成的安全過程區(qū)(PA)。
(1)風險過程
SSE-CMM 通過風險過程域來獲取組織對安全風險的理解。在風險過程域中,把風險看作是有害事件發(fā)生的可能性。一個有害事件或一種具體安全風險的不確定因素由三個部分組成:威脅、脆弱性和影響,如下圖。也就是說風險過程域是由四個過程區(qū)威脅識別(PA04)、脆弱性評估(PA05)、影響評估(PA02)、評估安全風險(PA03)組成。
SSE-CMM 風險過程關系
(2)風險過程關系
組織可以對單個的過程區(qū)或過程區(qū)的組合進行評估,但過程區(qū)之間存在著許多的相互關聯(lián)。威脅識別產生的威脅信息、脆弱性評估產生脆弱性信息和影響評估產生的影響信息綜合起來決定著安全風險評估的結果。
評估威脅過程區(qū)的目的在于識別安全威脅及其性質和特征。但評估威脅過程產生的威脅信息,是與來自PA05的脆弱性信息和來自PA02的影響信息一起使用。因此威脅評估就是根據(jù)現(xiàn)有的脆弱性和影響進行某些延伸。
評估脆弱性的目的在于識別和特征化系統(tǒng)的安全脆弱性。脆弱性指的是可被開發(fā)利用的系統(tǒng)的一個方面,與任何特殊的威脅或攻擊形成并不相干。
但脆弱性評估過程產生的脆弱性信息,是與來自PA04的威脅信息和來自PA02的影響信息一起使用。因此脆弱性評估就是根據(jù)現(xiàn)有相應威脅和影響情況進行某些延伸。
評估影響的目的在于識別危害系統(tǒng)以及喪失機密性、完整性、可用性、可記錄性、可鑒別性或可靠性的影響,并對發(fā)生影響的可能性進行評估。影響可能是有形的,例如稅收或財產的丟失,或可能是無形的,例如聲譽和信譽的損失。但影響評估過程產生的影響信息,是與來自PA04的威脅信息和來自PA05的脆弱性信息一起使用。因此影響評估就是根據(jù)現(xiàn)有相應的脆弱性進行一定的延伸。
評估安全風險的目的在于識別一給定環(huán)境中涉及到某一系統(tǒng)有依賴關系的風險,這些風險是基于對運行能力和可用資源在抗威脅方面和脆弱性程度的已有理解上的。評 估安全風險的風險信息,取決于PA04中的威脅信息、PA05中的脆弱性信息和PA02中的影響信息,確定威脅性、脆弱性和影響危害較大的風險組合,從而 采取合理的相應安全措施。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心
免責聲明:本文部分內容根據(jù)網絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
