ISO27001信息安全風(fēng)險(xiǎn)的構(gòu)成要素：面向安全工程過程的信息安全風(fēng)險(xiǎn)的構(gòu)成要素

1996年，美國(guó)國(guó)家安全局公布了SSE-CMM的第一個(gè)版本，1999年4月又公布了新的版本，系統(tǒng)安全工程能力成熟度模型（System SecurityEngineering-Capability Maturity Model，SSE-CMM）。在SSE-CMM 系統(tǒng)安全工程能力成熟度模型框架中，把安全工程應(yīng)用到信息系統(tǒng)的開發(fā)、集成、操作、管理、維護(hù)和進(jìn)化以及產(chǎn)品的開發(fā)、交付和進(jìn)化，使安全工程在一個(gè)系統(tǒng)、 一個(gè)產(chǎn)品或一個(gè)服務(wù)中得到實(shí)現(xiàn)。

SSE-CMM 將安全工程劃分為三個(gè)基本的過程域：風(fēng)險(xiǎn)，工程，保證。

這三個(gè)過程域之間可獨(dú)立加以考慮，但它們之間也是相互作用，共同達(dá)到安全目標(biāo)。而每一個(gè)過程域包括一組集成的安全過程區(qū)（PA）。

（1）風(fēng)險(xiǎn)過程

SSE-CMM 通過風(fēng)險(xiǎn)過程域來獲取組織對(duì)安全風(fēng)險(xiǎn)的理解。在風(fēng)險(xiǎn)過程域中，把風(fēng)險(xiǎn)看作是有害事件發(fā)生的可能性。一個(gè)有害事件或一種具體安全風(fēng)險(xiǎn)的不確定因素由三個(gè)部分組成：威脅、脆弱性和影響，如下圖。也就是說風(fēng)險(xiǎn)過程域是由四個(gè)過程區(qū)威脅識(shí)別（PA04）、脆弱性評(píng)估（PA05）、影響評(píng)估（PA02）、評(píng)估安全風(fēng)險(xiǎn)（PA03）組成。

SSE-CMM 風(fēng)險(xiǎn)過程關(guān)系

（2）風(fēng)險(xiǎn)過程關(guān)系

組織可以對(duì)單個(gè)的過程區(qū)或過程區(qū)的組合進(jìn)行評(píng)估，但過程區(qū)之間存在著許多的相互關(guān)聯(lián)。威脅識(shí)別產(chǎn)生的威脅信息、脆弱性評(píng)估產(chǎn)生脆弱性信息和影響評(píng)估產(chǎn)生的影響信息綜合起來決定著安全風(fēng)險(xiǎn)評(píng)估的結(jié)果。

評(píng)估威脅過程區(qū)的目的在于識(shí)別安全威脅及其性質(zhì)和特征。但評(píng)估威脅過程產(chǎn)生的威脅信息，是與來自PA05的脆弱性信息和來自PA02的影響信息一起使用。因此威脅評(píng)估就是根據(jù)現(xiàn)有的脆弱性和影響進(jìn)行某些延伸。

評(píng)估脆弱性的目的在于識(shí)別和特征化系統(tǒng)的安全脆弱性。脆弱性指的是可被開發(fā)利用的系統(tǒng)的一個(gè)方面，與任何特殊的威脅或攻擊形成并不相干。

但脆弱性評(píng)估過程產(chǎn)生的脆弱性信息，是與來自PA04的威脅信息和來自PA02的影響信息一起使用。因此脆弱性評(píng)估就是根據(jù)現(xiàn)有相應(yīng)威脅和影響情況進(jìn)行某些延伸。

評(píng)估影響的目的在于識(shí)別危害系統(tǒng)以及喪失機(jī)密性、完整性、可用性、可記錄性、可鑒別性或可靠性的影響，并對(duì)發(fā)生影響的可能性進(jìn)行評(píng)估。影響可能是有形的，例如稅收或財(cái)產(chǎn)的丟失，或可能是無形的，例如聲譽(yù)和信譽(yù)的損失。但影響評(píng)估過程產(chǎn)生的影響信息，是與來自PA04的威脅信息和來自PA05的脆弱性信息一起使用。因此影響評(píng)估就是根據(jù)現(xiàn)有相應(yīng)的脆弱性進(jìn)行一定的延伸。

評(píng)估安全風(fēng)險(xiǎn)的目的在于識(shí)別一給定環(huán)境中涉及到某一系統(tǒng)有依賴關(guān)系的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)是基于對(duì)運(yùn)行能力和可用資源在抗威脅方面和脆弱性程度的已有理解上的。評(píng) 估安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)信息，取決于PA04中的威脅信息、PA05中的脆弱性信息和PA02中的影響信息，確定威脅性、脆弱性和影響危害較大的風(fēng)險(xiǎn)組合，從而 采取合理的相應(yīng)安全措施。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5544.html