iso27001信息安全风险评估管理办法内容摘要:
2 低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到 25%以上 1 可忽略 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于 25% 惠州 培训网 更多免费资料下载请进: 好好学习社区 3分以上为重要资产,重要信息资产由信息安全部确立清单 威胁识别 威胁分类 对重要资产应由 ISMS 小组识别其面临的威胁。 针对威胁来源,根据其表现形式将威胁分为 软硬件故障 、 物理环境威胁 、 无作为或操作失误 、 管理不到位 、 恶意代码和 病毒 、 越权或滥用 、 黑客攻击技术 、 物理攻击 、 泄密 、 篡改 和 抵赖 等。 威胁 (T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。 等级数值越大,威胁出现的频率越高。 威胁赋值见下表。 等级 标识 定义 5 很高 威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过(每天) 4 高 威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生过(每周) 3 中 威胁出现的频率中等,在某种情况下可能会发生或被证 实曾经发生过(每月、曾经发生过) 2 低 威胁出现的频率较小,一般不太可能发生,也没有被证实发生过(每年) 1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生(特殊情况) 脆弱性识别 脆弱性识别内容 脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。 管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。 脆弱性 (V)严重程度赋值 脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。 等级数值越大,脆弱性严重程度越高。 脆弱性严重程度赋值见下表 惠州 培训网 更多免费资料下载请进: 好好学习社区 等级 标识 定义 5 很高 如果被威。阅读剩余 0%
本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。
用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。