《据ISO 13335信息安全风险级别定义.docx》由会员分享,可在线阅读,更多相关《据ISO 13335信息安全风险级别定义.docx(2页珍藏版)》请在第壹文秘上搜索。
据ISO13335信息安全风险级别定义根据ISO13335的定义,风险指的是特定威胁利用某资产或组资产的脆弱性,从而对组织产生损害的可能性。因此,为了确定风险级别,首先需要创建不同级别影响(损害)和可能性的定义,然后基于不同级别的影响和可能性定义,创建不同级别的风险定义。I.影响级别定义根据XXX的实际情况,最终确定影响级别定义如下:影响级别(严亚程度)影响描述5信息遭受篡改或无法使用对XXX的管理运营具有极其严全的影响,4信息遭受篡改或无法使用时刻XXX的管理运营具有严,五的影响。3信息遭受套改或无法使用时对XXX的管理运营具有一定影晌。2信息遭受套改或无法使用时对XXX的管理运营具有轻微影响。1信息遭受套改或无法使用时对XXX的管理运营基本没有影晌。2.可能性级另可能性级,I1.定义定义如F:可能性级别(发生概率)可能性描述5几乎肯定发生:预期住大多数情况下发生,不可避免:或者可以证实经常发生。4非常有可能发生:在大多数情况下,很有可能会发生:或者可以证实发生过。3发生的可能性较大:在某些情况下,很可能会发生。2有可能发生:在某种情况卜或某个时间,可能会发生。1基本不可能发生:发生的可能性很小,不太可能。3.磨獭别矩阵基于以上定义,创建的风险级别矩阵如卜所示:影响可能性123455中高高极高ft*4中中高高极高3低中高高2低低中中高影响可能性I2345I低低中中高