(二) 风险分析
ISO 27005从一开始就强调不是方法论,此标准只是资讯安全风险管理指引,所以方法论还是要由组织自行决定。方法论区分定性法及定量法,目前大都采用定性法,两种方法论各有利弊,定性法是使用量度尺标,针对重要的推论区分为低、中、高评等,及这些推论可能发生的机率;定量法是使用数值法则定义推论结果与发生机率,所以最後要推论的都是发生的机率,所谓的机率就我个人来看,有发生就是一、没发生就是零,在零跟一之间找到一个比率或数值,去看看发生的机率有多高,这好像投掷一个钱币去猜他是正面还是反面的机率一样。所幸的是,还有一些因素可以参考,就前面的风险模型来看,你的防护措施做得愈不完整表示漏洞愈多,那入侵的机率应该就会愈高;如果能做到滴水不露,那发生机率自然而然地就会降下来,所以在这个步骤要去分析前一个风险识别所识别出来的结果,利用一些方法去分析情景发生的机率有多高。例如:第二个情景是离开时未登出个人电脑导致客户资料被有心的同事窃取,接下来就是要分析这个情景实际发生的机率及造成的後果。区分下列的步骤:
<<: [自学笔记]关於SVN(Subversion) 版本控制系统
>>: [CSS] Flex/Grid Layout Modules, part 16
Home -> 资源群组(Resource Groups) -> 储存体帐户(Stor...
话就不多说了,直接开始今天的内容吧 闭包 闭包的别称为「匿名函数」有三个特点 可以像函数一样被呼叫 ...
git 的 commit 讯息是个随意格式的纯文字文件,使用者可以使用 commit 的讯息快速理解...
ARM Cortex Overview ARM Architecture 从第七代开始,分为三种配置...
终於拿到手的Raspberry Pi Compute module 4 参考 官网 (确保电脑没有连...