信息安全風險評估的基本要素有什么

信息安全風險評估的概念涉及資產、威脅、脆弱性和風險4個主要因素。

• 使命：一個組織機構通過信息化形成的能力要來進行的工作任務。

• 依賴度：一個組織機構的使命對信息系統和信息的依靠程度。依賴度越高，風險評估的任務就越重要。

• 資產：通過信息化建設積累起來的信息系統、信息、生產或服務能力、人員能力和贏得的信譽等。

  • 價值：資產在重要程度或敏感程度上的表現特征。

• 威脅：一般指會對系統或組織造成不良后果的不希望事故潛在起因。

• 脆弱性：可能被威脅所利用的資產或若干資產的脆弱環節。通常脆弱性也被稱作是弱點或漏洞。威脅是外因，脆弱性是內因，威脅只有通過利用脆弱性才能造成安全事件。

• 風險：風險由意外事件發生的可能性及發生后可能產生的影響兩種指標來衡量的。風險是在考慮實踐發生的可能性及其可能造成的影響下，脆弱性被威脅所利用后所產生的實際負面影響。風險是可能性和影響的函數，前者指威脅源利用一個潛在的脆弱性的可能性，后者指不利事件對組織機構產生的影響。

• 殘余風險：采取了安全防護措施，提高了防護能力后，仍然可能存在的風險。

• 安全需求：為保證信息資產正常的工作，在信息安全保障措施方面提出的要求。

• 安全保障措施：對付威脅，減少脆弱性，保護資產，限制意外事件的影響，檢測、響應意外事件，促進災難恢復和打擊信息犯罪而實施的各種實踐、規程和機制的總稱。

回答所涉及的環境：聯想天逸510S、Windows 10。