安全评监(Security Assessment)

-ISO 31000

在 ISO 31000 中，风险评监包括三个步骤：风险识别、风险分析和风险评监；威胁是一种带来负面影响的风险。在 NIST 的世界中，风险评监和风险分析是同义词。但是，它们具有相同的性质，即风险处理和响应遵循风险评监。安全控制是特定的风险处理或缓解风险的响应。
脆弱性是威胁的一个因素。NIST 的通用风险模型具体定义了威胁因素：

-NIST 通用风险模型 (NIST SP 800-30 R1)

安全评监(Security Assessment)
安全评监可以指安全控制评监（SCA）或资讯安全评监（ISA）。然而，它们有细微的差别。SCA 是 ISA 的一个子集。本题中的安全评监是指安全控制评监。
. 安全控制评监（SCA）的意思是“测试或评监的安全控制，以确定该控制是否正确执行，按预期方式操作的程度，并产生相对於所期望的结果满足用於资讯系统或组织的安全性要求。” (NIST SP 800-53 R4)
. 一种资讯安全评监（ISA）是“确定实体被如何有效评监的过程中（例如，主机，系统，网络，程序，人知的作为评监对象）满足特定安全目标。” (NIST SP 800-115)

参考
. 安全评监

资料来源： Wentz Wu QOTD-20210708
My Blog: https://choson.lifenet.com.tw/