GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
Information security technology – Guide of implementation for information security risk assessment
主要内容
主要内容如下:
术语和定义
1 实施 implementation
将一系列活动付诸实践的过程。
2 信息系统生命周期 information system lifecycle
信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。
3 评估目标 assessment target
评估活动所要达到的最终目的。
4 系统调研 system investigation
对信息系统相关的实际情况进行调查了解与分析研究的活动。
5 评估要素 assessment factor
风险评估活动中必须要识别、分析的一系列基本因素。
6 识别 identify
对某一评估要素进行标识与辨别的过程。
7 赋值 assignment
对识别出的评估要素根据已定的量化模型给予定量数值的过程。
8 核查 check in
将信息系统中的检査信息与制定的检查项进行核对检查的活动。
9 关键控制点 the key point
在项目实施活动中,具有能够影响到项目整体进度决定性作用的实施活动。
10 分析模型 analysis model
依据一定的分析原理,构造的一种模拟分析方法,用于对评估要素的分析。
11 评价模型 evaluation model
依据一定的评价体系,构造若干评价指标,能够对相应的活动进行较为完善的评价。
12 风险处理 risk treatment
对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等。
13 验收 acceptance
风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织,对评估活动进行逐项检验,以是否达到评估目标为接受标准。
缩略语
下列缩略语适用于本文件。
AC:访问(入侵)复杂性(Access Complexity )
AV:访问(入侵)路径(Access Vector)
BOF:缓冲区溢出(Buffer Overflow)
CDP:破坏潜力(Collateral Damage Potential)
CVE:公共漏洞和暴露(Common Vulnerabilities & Exposures)
CVSS:通用安全弱点评估系统(Common Vulnerability Scoring System)
RC:报告可信性(Report Conference)
RL:补救水平(Remediation Level)
SR:安全要求(Security Requirement)
TD:目标分布(Target Distribution)
VLAN:虚拟局域网(Virtual Local Area Network)
暂无评论内容