请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 微信、QQ、手机号一键注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

搜索
查看: 2390|回复: 1

《GB/T 20984-2007信息安全风险评估规范》的脆弱性概念偏差

[复制链接]
发表于 2011-7-8 15:08:00 | 显示全部楼层 |阅读模式
在2007年刚刚拿到《GB/T 20984-2007信息安全风险评估规范》就发现该标准对“脆弱性”的理解有一些独特的想法,但这些独特的想法在标准中来回混淆的,而且这一想法的合理性本身也是一个问题。
标准里对 “脆弱性”的独特想法是,GB 20984对脆弱性的提出了两个属性:
1) 脆弱性的严重程度,基于“如果被威胁利用,将对资产造成损害”的程度;
2) 脆弱性的可利用程度,基于“技术实现的难易程度、弱点的流行程度”。
而在流行的信息安全风险评估国际标准中,包括ISO/IEC TR 13335-3:1998、 ISO/IEC 27005:2008、SP800-30、BS 7799-3:2006,都只提及了脆弱性“可利用程度”的概念,而没有提及脆弱性“严重程度”的概念。
下面从这个国家标准和国际标准两方面对风险评估的核心要素的定义开始分析。




上一篇:商业银行风险管理简介
下一篇:求教....关于IT行业的业务持续性管理表现在哪些方面呢?
发表于 2016-11-5 10:34:33 | 显示全部楼层
脆弱性就是弱点、漏洞也就是内因。

本版积分规则

参加 ITIL 4 基础和中级专家认证、v3专家升级、DevOps专家认证、ITSS服务经理认证报名

QQ|小黑屋|手机版|Archiver|艾拓先锋网 ( 粤ICP备11099876号-1 )|网站地图

Baidu

GMT+8, 2020-8-10 15:31 , Processed in 0.147588 second(s), 24 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表