B.1 主要安全因素

信息系統的主要安全因素和各因素之間的關系如圖B.1所示。

B.1.1　資產

主要包括：
——支持設施（例如，建筑、供電、供水、空調等）；
——硬件資產（例如，計算機設備如：處理器、監視器、膝上型電腦、調制解調器，通信設施如：路由器、交換機、傳真機、應答機，存儲媒體如磁盤、光盤等）；
——信息資產（例如，數據庫和數據文檔，系統文件，用戶手冊，培訓資料，操作和支持程序，持續性計劃，備用系統安排，訪問信息等）；
——軟件資產（例如，應用軟件，系統軟件，開發工具和實用程序等）；
——生產能力或服務能力；
——人員；
——無形資產（例如，信譽，形象等）；
——等。

B.1.2　威脅

主要包括自然威脅和人為威脅。
自然威脅有地震、雷擊、洪水、火災、靜電、鼠害和電力故障等。
人為威脅分為：
——盜竊類型的威脅，如偷竊設備、竊取數據、盜用計算資源等；
——破壞類型的威脅，如破壞設備、破壞數據文件、引入惡意代碼等；
——處理類型的威脅，如插入假的輸入、隱瞞某個輸出、電子欺騙、非授權改變文件、修改程序和更改設備配置等；
——操作錯誤和疏忽類型的威脅，如數據文件的誤刪除、誤存和誤改、磁盤誤操作等；
——管理類型威脅，如安全意識淡薄、安全制度不健全、崗位職責混亂、審計不力、設備選型不當、人事管理漏洞等；
——等。

B.1.3　脆弱性

與資產相關的脆弱性包括物理布局、組織、規程、人事、管理、行政、硬件、軟件或信息等的弱點；與系統相關的脆弱性如分布式系統易受傷害的特征等。

B.1.4　意外事件影響

影響資產安全的事件，無論是有意或是突發，其后果可能毀壞資產，破壞信息系統，影響保密性、完整性、可用性和可控性等。可能的間接后果包括危及國家安全，社會穩定，造成經濟損失，破壞組織或機構的社會形象等。

B.1.5　風險

風險是某種威脅利用暴露系統脆弱性對組織或機構的資產造成損失的潛在可能性。風險由意外事件發生的概率及發生后可能產生的影響兩種指標來評估。
由于保護措施的局限性，信息系統總會面臨或多或少的殘留風險，組織或機構應考慮對殘留風險的接受程度。

B.1.6　保護措施

保護措施是對付威脅，減少脆弱性，限制意外事件影響，檢測意外事件并促進災難恢復而實施的各種實踐、規程和機制的總稱。應考慮采用保護措施實現下述一種或多種功能：預防、延緩、阻止、檢測、限制、修正、恢復、監控以及意識性提示或強化。保護措施作用的區域可以包括物理環境、技術環境（如硬件、軟件和通信）、人事和行政。保護措施可為：訪問控制機制、抗病毒軟件、加密、數字簽名、防火墻、監控和分析工具、備用電源以及信息備份等。
選擇保護措施時要考慮由組織或機構運行環境決定的影響安全的因素，例如，組織的、業務的、財務的、環境的、人事的、時間的、法律的、技術的邊界條件以及文化的或社會的因素等。