資訊資產

在組織信息安全、计算机安全及网络安全領域中的資訊資產（或簡稱資產）是指在組織中支援資訊相關活動的資訊、人員、軟體、硬體、環境。資訊資產一般會包括硬體（伺服器及網路切換器）、軟體（任務關鍵應用程式及支援系統）及機密資訊^[1][2]。資訊資產需要加以保護，避免非法存取、使用、揭露、更改、破壞或是被竊，也避免造成組織的損失^[3]。

資訊安全三要素

信息安全的目的是要確保在眾多威脅（英语：Threat (computer)）下，可以維持資產的保密（Confidentiality）、完整性（Integrity）、可用性（Availability）。例如白帽黑客會利用漏洞進行网络攻击，以竊取信用卡的卡號。資訊安全專家需要評估攻擊可能的影響，並且佈署適當的對策（英语：countermeasure (computer)）^[4]。以這個例子而言，對策可能是防火墙以及對卡號的加密。

風險分析

在進行風險分析時，需要評估各個資產若損失時會產生的成本，進而評估要花多少經費來保護這些資產，也需要評估各個資產損失的機率。考慮時也需要考慮無形成本。例如駭客偷走了某信用卡公司的所有信用卡卡號，信用卡公司沒有任何直接損失，不過在商譽上會有很大的影響，也會有高額的罰款。

相關條目

• 计算机安全
• 對策 (資訊安全)（英语：Countermeasure (computer)）
• 資訊風險因素分析（英语：Factor Analysis of Information Risk）
• ENISA（英语：ENISA）
• 漏洞利用
• FISMA（英语：FISMA）
• 互联网工程任务组
• 信息安全
• 資訊安全管理系統
• 完整性
• IT風險（英语：IT risk）
• 國家標準技術研究所
• 風險因素 (資訊安全)（英语：Risk factor (computing)）
• 风险管理

參考資料

1. ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management. [2019-08-05]. （原始内容存档于2016-12-31）. 
2. ENISA Glossary. [2019-08-05]. （原始内容存档于2012-02-29）. 
3. "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 （页面存档备份，存于互联网档案馆）;
4. IETF RFC 2828

外部連結

• FISMApedia TERM