02-02-02 信息安全审计

1. 风险、信息安全风险的概念

风险：指事态的概率及其结果的组合
信息安全风险：指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发送及其组织造成的影响。（例如：棱镜门事件）

2. 风险的构成

包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响）

3. 风险相关术语

1. 资产：任何对组织有价值的东西，是要保护的对象，以多种形式存在（多种分类方法）：
   ①物理：计算设备、网络设备和存储介质等
   ②逻辑：体系结构、通信协议、计算程序和数据文件等
   ③硬件 ④软件
   ⑤有形、无形：品牌、名誉等
   ⑥静态：设施、规程等
   ⑦动态：人员和过程、技术和管理等。

2. 威胁：可能导致对系统或组织危害的不希望事故潜在起因，是引起风险的外因。威胁源采取适当的威胁方式才可能引发风险。
   常见的威胁源：操作失误、滥用授权、行为抵赖、身份假冒、口令攻击、密钥分析、漏洞利用、拒绝服务、窃取数据、物理破坏、社会工程等。

3. 脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节，是造成风险的内因。脆弱性本身不对资产构成危害，会被威胁源利用，从而对信息资产造成危害
   比如：系统程序代码缺陷、系统安全配置错误、系统操作流程有缺陷、维护人员安全意识不足。

4. 可能性：某件事发生的机会，代表威胁源利用脆弱性造成不良后果的机会

4. 风险的概念

风险：威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性
即威胁源采取威胁方式利用脆弱性造成风险。

5. 信息安全审计

是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。
是揭示信息安全风险的最佳手段，改进信息安全现状的有效途径，满足信息安全合规要求的有效方式。