信息安全风险评估概念

信息安全风险评估涉及4个主要因素：资产、威胁、弱点和风险。资产是对企业有价值的东西。
信息技术资产结合了逻辑和物理的资产，将其分为五类：
（1）信息资产（数据或者用于完成组织任务的知识产权）。
（2）系统资产（处理和存储信息的信息系统）。
（3）软件资产（软件应用程序和服务）。
（4）硬件资产（信息技术的物理设备）。
（5）人员资产（组织中拥有独特技能、知识和经验的他人难以替代的人）。

2001年，Alberts等人认为弱点（Vulnerability）可分为组织弱点和技术弱点。
组织弱点是指组织的政策或实践中可能导致未授权行为的弱点。
技术弱点是指系统、设备和直接导致未授权行为的组件中存在的弱点，将其分为三类：
（1）设计弱点（硬件或者软件中设计或者规范中存在的弱点）。
（2）实现弱点（由一个良好的设计在实现软件或者硬件时产生的错误而导致的弱点）。
（3）配置弱点（由一个系统或者组件在配置时产生错误而导致的错误）。

威胁是指潜在的不希望发生事件的指示器，将其分为四类：
1. 基于网络方式访问造成的威胁、基于物理方式访问造成的威胁、系统问题以及其他问题等。
2.威胁的属性包括资产、访问、主角、动机和结果等。
3.当一个威胁利用了资产所包含的弱点后，资产将会面临风险。
4.这种危害将会影响资产的保密性、完整性和可用性，并造成资产价值的损失。
资产、威胁、弱点以及影响之间的关系如图1：

Rowe认为，风险是指遭受损害或者损失的可能性，是实现一个事件不想要的负面结果的潜在因素。
风险的数学表达式：风险R = f（p, c），其中p为事件发生的概率，c为事件发生的后果。
风险分析是风险评估过程中最复杂的步骤，要求对风险的识别、估计和评价做出全面的、综合的分析。一个全面的风险分析包括对各种层次的风险发生的概率和影响进行评价。
风险评估重点关注风险的评估和量化，由此决定风险的可接受级别。
风险管理过程定义了综合的策略来解决风险分析过程中识别出来的风险。
Britton等人提出了三种基本的风险解决办法：接受风险、减小风险和转移风险。