×

微信扫一扫,快捷登录!

标签: 暂无标签
在2007年刚刚拿到《GB/T 20984-2007信息安全风险评估规范》就发现该标准对“脆弱性”的理解有一些独特的想法,但这些独特的想法在标准中来回混淆的,而且这一想法的合理性本身也是一个问题。
标准里对 “脆弱性”的独特想法是,GB 20984对脆弱性的提出了两个属性:
1) 脆弱性的严重程度,基于“如果被威胁利用,将对资产造成损害”的程度;
2) 脆弱性的可利用程度,基于“技术实现的难易程度、弱点的流行程度”。
而在流行的信息安全风险评估国际标准中,包括ISO/IEC TR 13335-3:1998、 ISO/IEC 27005:2008、SP800-30、BS 7799-3:2006,都只提及了脆弱性“可利用程度”的概念,而没有提及脆弱性“严重程度”的概念。
下面从这个国家标准和国际标准两方面对风险评估的核心要素的定义开始分析。




上一篇:ISO 27005 is the name of the prime 27000 series standard cov
下一篇:ISO/IEC 27005:2008 信息安全技术风险管理 (中文版)
Eson

写了 301 篇文章,拥有财富 1639,被 3 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
zhushp 发表于 2016-11-5 10:34:33
脆弱性就是弱点、漏洞也就是内因。
Powered by IT 运维管理
返回顶部