ISO27001信息安全风险的含义和特征
(1)ISO27001 信息安全风险的含义
风险是指一定条件下和一定时期内可能发生的不利事件发生的可能性,即强调风险发生的不确定性,又强调风险损失的不确定性。
澳大利亚/新西兰国家标准 AS/NZS 4360 把信息安全风险定义为“对目标产生影响的某种事件发生的机会,可以用后果和可能性来衡量(Risk: thechance of something happening that will have on impact upon objectives. It ismeasured in terms of consequences and likelihood.)”。
在ISO13335-1 中,定义信息安全风险为“一定威胁利用单个或一组资产的脆弱性并造成资产丢失或损毁的可能性(Risk: the potential that a giventhreat will exploit vulnerabilities of an asset or group of assets to cause loss ordamage to the assets)”。
(2)ISO27001信息安全风险特征
信息安全本身已发展成为涉及数学、通讯、计算机、管理及工程等多学科的复杂系统,面临的安全风险种类繁多,各种风险之间的相互关系错综复杂,具有以下特征:
① 客观性和不确定性。信息安全风险客观存在于信息系统的各个层次和生命周期的各个阶段,并随着各种不确定因素的不断变化而呈现不确定性。
② 多层次性和多样性。信息安全风险作用层面包括物理层、链路层、网络层、传输层、系统层和应用层,具有多层次性;风险包括技术风险、管理风险和环境风险等,又具有多样性。
③ 可变性和动态性。信息安全风险在其生命期内动态变化,具有可变性;同时在信息系统生命周期的不同阶段呈现出不同的风险,具有多样性。
④ 可测性。风险虽然呈现出不确定性,但可用各种定性和定量的风险方法对风险进行预测和衡量。
