ISO27001-2013版信息安全管理体系全套制度文件(5)

ISO27001-2013版信息安全管理体系全套制度文件

风险计算模型中包含：资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等；脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。

2.3风险计算的过程如下：

对资产进行识别，并对资产的价值进行赋值；

根据资产价值的评判标准，评价出重要信息资产；

对重要信息资产面临的威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

对重要信息资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；

根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；

根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

3风险评估实施过程

根据风险评估要素关系模型，进行风险评估需要分析评价各要素，按照各要素关系，风险评估的过程主要包括：风险评估的准备，即信息收集与整理、对资产、威胁、脆弱性的分析、已有采取安全措施的确认以及风险评价等环节，风险评估实施过程可用下图表示：

第5页共130页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库ISO27001-2013版信息安全管理体系全套制度文件(5)在线全文阅读。