根据ISO 31000,风险是“不确定性对目标的影响(effect of uncertainty on objectives)。” 这是适用於所有情况的通用风险定义,例如财务风险,人员风险,供应链风险,信息安全风险等。
以下是包含不确定性(uncertainty)和影响(effect)的完整风险描述:
员工不注意参加培训 可能会导致 经常违反安全政策。
以下风险描述不完整:
. 诸如地震,洪水等自然灾害是威胁的来源,是不确定性的一部分。
. “脚本小子使用开源工具对网站进行SQL注入”是一个不确定的威胁场景,没有描述其影响。
. 人命损失是一种後果。
有多种描述风险的结构方法。David Hillson博士创建的**风险元语言**是最着名的风险语言之一。使用风险元语言作为句子结构描述了以下样本风险,并且NIST通用风险模型专门用於信息安全环境。
由於黑客(威胁源threat source)可能通过SQL注入(威胁事件threat event)破坏了未打补丁的网站(漏洞vulnerability)),因此会危害组织的声誉(不利影响adverse impact)。(吴文智)
NIST通用风险模型
-NIST通用风险模型(NIST SP 800-30 R1)
参考
. 自然危害
资料来源: Wentz Wu QOTD-20210104
今日题目 题目连结:232. Implement Queue using Stacks 题目主题:S...
在使用一段时间Cloudflare加速后,发现网站程序并不兼容IPV6,目前厂家未作升级处理,整了好...
前言 对图形的搜寻有了基本观念之後,接下来要在图形的边加入权重的部分,这样就能找到最短路径 生活常识...
前一篇利用 Nightwatch.js 的 pause(),并透过 global 设定了不同的等待时...
缘由 因为拖延症严重,想要强迫自己看课,所以如果把每天进度都写成了铁人30天的文章,为了不中断,造成...