用户投稿根据ISO 31000,风险是“不确定性对目标的影响(effect of uncertainty on objectives)。” 这是适用于所有情况的通用风险定义,例如财务风险,人员风险,供应链风险,信息安全风险等。
以下是包含不确定性(uncertainty)和影响(effect)的完整风险描述:
员工不注意参加培训 可能会导致 经常违反安全政策。
以下风险描述不完整:
.诸如地震,洪水等自然灾害是威胁的来源,是不确定性的一部分。
.“脚本小子使用开源工具对网站进行SQL注入”是一个不确定的威胁场景,没有描述其影响。
.人命损失是一种后果。
有多种描述风险的结构方法。David Hillson博士创建的**风险元语言**是最着名的风险语言之一。使用风险元语言作为句子结构描述了以下样本风险,并且NIST通用风险模型专门用于信息安全环境。
由于黑客(威胁源threat source)可能通过SQL注入(威胁事件threat event)破坏了未打补丁的网站(漏洞vulnerability)),因此会危害组织的声誉(不利影响adverse impact)。(吴文智)
NIST通用风险模型
-NIST通用风险模型(NIST SP 800-30 R1)
参考
.自然危害
资料来源: Wentz Wu QOTD-20210104
微信扫一扫打赏
支付宝扫一扫打赏
