iT邦幫忙

1

風險描述(risk descriptions)

根據ISO 31000,風險是“不確定性對目標的影響(effect of uncertainty on objectives)。” 這是適用於所有情況的通用風險定義,例如財務風險,人員風險,供應鏈風險,信息安全風險等。

以下是包含不確定性(uncertainty)和影響(effect)的完整風險描述:
員工不注意參加培訓 可能會導致 經常違反安全政策。

以下風險描述不完整:
. 諸如地震,洪水等自然災害是威脅的來源,是不確定性的一部分。
. “腳本小子使用開源工具對網站進行SQL注入”是一個不確定的威脅場景,沒有描述其影響。
. 人命損失是一種後果。

https://ithelp.ithome.com.tw/upload/images/20210115/20132160mjthNgT7Gg.jpg
有多種描述風險的結構方法。David Hillson博士創建的**風險元語言**是最著名的風險語言之一。使用風險元語言作為句子結構描述了以下樣本風險,並且NIST通用風險模型專門用於信息安全環境。

由於黑客(威脅源threat source)可能通過SQL注入(威脅事件threat event)破壞了未打補丁的網站(漏洞vulnerability)),因此會危害組織的聲譽(不利影響adverse impact)。(吳文智

NIST通用風險模型
https://ithelp.ithome.com.tw/upload/images/20210115/20132160PJpkZKYySm.jpg
-NIST通用風險模型(NIST SP 800-30 R1)

參考
. 自然危害

資料來源: Wentz Wu QOTD-20210104


尚未有邦友留言

立即登入留言