什么是信息安全风险
安全的定义:
例如:
- 漏洞未修复————脆弱性
- 发生概率————威胁
- 带来影响————风险
威胁和脆弱性的关系:
功能越强大、提供的服务越多可能存在漏洞的概率也就越高。
总结:可以利用脆弱性,使信息资产收到业务收到影响
常见信息安全风险的应对
信息安全风险值的计算
NIST(信息技术体系风险管理指南)
系统特征/威胁识别/脆弱性识别/控制分析/结果记录
OCTAVE(操作关键威胁、资产和脆弱性评估)
ISO27001(控制项评估)
FMEA(失效模式和影响)
安全风险如何计算
参考:林很技术视频