資訊資產
在組織信息安全、計算機安全及網絡安全領域中的資訊資產(或簡稱資產)是指在組織中支援資訊相關活動的資訊、人員、軟件、硬件、環境。資訊資產一般會包括硬件(伺服器及網絡切換器)、軟件(任務關鍵應用程式及支援系統)及機密資訊[1][2]。資訊資產需要加以保護,避免非法存取、使用、揭露、更改、破壞或是被竊,也避免造成組織的損失[3]。
資訊安全三要素
編輯信息安全的目的是要確保在眾多威脅下,可以維持資產的保密(Confidentiality)、完整性(Integrity)、可用性(Availability)。例如白帽黑客會利用漏洞進行網絡攻擊,以竊取信用卡的卡號。資訊安全專家需要評估攻擊可能的影響,並且佈署適當的對策[4]。以這個例子而言,對策可能是防火牆以及對卡號的加密。
風險分析
編輯在進行風險分析時,需要評估各個資產若損失時會產生的成本,進而評估要花多少經費來保護這些資產,也需要評估各個資產損失的概率。考慮時也需要考慮無形成本。例如駭客偷走了某信用卡公司的所有信用卡卡號,信用卡公司沒有任何直接損失,不過在商譽上會有很大的影響,也會有高額的罰款。
相關條目
編輯參考資料
編輯- ^ ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management. [2019-08-05]. (原始內容存檔於2016-12-31).
- ^ ENISA Glossary. [2019-08-05]. (原始內容存檔於2012-02-29).
- ^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 (頁面存檔備份,存於互聯網檔案館);
- ^ IETF RFC 2828