什么是信息安全风险,如何计算信息安全风险?
[答案要点]根据ISO/IEC13335-1,信息安全风险是指威胁利用一个或一组资产的脆弱点导致组织受损的潜在性,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现。资产、威胁、脆弱点是信息安全风险的基本要素,是信息安全风险存在的基本条件,缺一不可。没有资产,威胁就没有攻击或损害的对象;没有威胁,尽管资产很有价值,脆弱点很严重,安全事件也不会发生;系统没有脆弱点,威胁就没有可利用的环节,安全事件也不会发生。风险可以形式化的表示为:R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。
举一反三
- 什么是信息安全风险
- 信息安全风险不包括() A: 信息资产管理风险 B: 物理与环境安全风险 C: 安全事件风险 D: 测试风险
- 2.信息安全风险是网络银行面临的主要风险之一,下列属于信息安全风险的是()
- 下列风险应对策略是针对什么风险:“制定信息科技设施、数据中心等信息科技环境的安全管理制度,包括设备安全管理、介质安全管理、人员出入等,并确保有效执行;”() A: 流动性风险 B: 市场风险 C: 信息科技物理和环境安全风险 D: 全面风险
- 下列风险应对策略是针对什么信息科技风险:“定期对外包工作进行评估,对发现的问题及时跟进解决;”() A: 信息科技外包策略风险 B: 信息科技外包生命周期管理风险 C: 信息科技应用安全风险 D: 信息科技系统软件安全风险
内容
- 0
信息安全风险中的信息风险包括哪些
- 1
下列关于信息安全管理的描述中,错误的是()。 A: 零风险是信息安全管理工作的目标 B: 风险评估是信息安全管理工作的基础 C: 风险处置是信息安全管理工作的核心 D: 安全管理控制措施是风险管理的具体手段
- 2
下列风险应对策略是针对什么信息科技风险:“不得将信息科技管理职能外包;”() A: 信息科技外包策略风险 B: 信息科技数据安全风险 C: 信息科技项目变更风险 D: 信息科技容量管理风险
- 3
评价信息安全风险,包括() A: 将风险分析的结果与信息安全风险准则进行比较 B: 确定风险的控制措施 C: 为风险处置排序以分析风险的优先级 D: 计算风险大小
- 4
信息安全风险是网络银行面临的主要风险之一,下列各项不属于信息安全风险的是哪一项?( )