理标准ISO17799国内标准信息安全风险评估指南风险管理各要素之间的关系依赖拥有被满足抗击利用暴露降低增加增加增加导出演变未被满足未控制可能诱发残留成本业务战略资产威胁安全需求事件残余风险安全措施资产价值脆弱性风险风险评估的相关术语资产(Asset)任何对组织有价值的东西,是一个完整信息系统的组成部分,是风险评估的对象。威胁(Threat)可能导致对系统或组织的损害的不期望事件发生的潜在原因脆弱性(Vulnerability)可能会被一个或多个威胁所利用的资产或一组资产的弱点风险分析原理资产识别脆弱性识别威胁识别价值严重程度出现的频率损失可能性风险值资产识别与分类数据存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件、应用软件、源程序、数据库等硬件网络设备、计算机设备、存储设备、移动存储设备、传输线路、保障设备、安全保障设备、其他电子设备等文档纸质的各种文件、传真、电报、财务报告、发展计划等人员各级人员服务办公服务、网络服务、信息服务等资产例子——信息资产资产所有者/位置资产编号薪资方案表服务器采购合同表-供应商服务器采购合同表-订约人服务器区域销售合同服务器股票控制记录服务器销售合同-Access数据库服务器供应商清单-Access数据库服务器金碟财务记录服务器销售代理清单市场&销售邮件服务器培训资料市场&销售资产例子——纸质文件资产所有者/位置资产编号供应商合同财务供应商合同物流供应商合同市场&销售财务合同财务预算财务销售合同(信用卡)财务销售合同(信用卡)区域经理销售合同物流销售合同市场&销售银行声明财务账单财务合同发票财务客户信息市场&销售资产例子——纸质文件资产所有者/位置资产编号退税财务信件财务信件市场&销售公司介绍财务外包服务合同物流快信投寄单物流供应商清单物流客户信息市场&销售个人文件市场&销售