在组织信息安全计算机安全网络安全领域中的资讯资产(或简称资产)是指在组织中支援资讯相关活动的资讯、人员、软件、硬件、环境。资讯资产一般会包括硬件(服务器及网络切换器)、软件(任务关键应用程序及支援系统)及机密资讯[1][2]。资讯资产需要加以保护,避免非法存取、使用、揭露、更改、破坏或是被窃,也避免造成组织的损失[3]

资讯安全三要素

编辑

信息安全的目的是要确保在众多威胁英语Threat (computer)下,可以维持资产的保密(Confidentiality)、完整性(Integrity)、可用性(Availability)。例如白帽黑客利用漏洞进行网络攻击,以窃取信用卡的卡号。资讯安全专家需要评估攻击可能的影响,并且布署适当的对策英语countermeasure (computer)[4]。以这个例子而言,对策可能是防火墙以及对卡号的加密

风险分析

编辑

在进行风险分析时,需要评估各个资产若损失时会产生的成本,进而评估要花多少经费来保护这些资产,也需要评估各个资产损失的几率。考虑时也需要考虑无形成本。例如骇客偷走了某信用卡公司的所有信用卡卡号,信用卡公司没有任何直接损失,不过在商誉上会有很大的影响,也会有高额的罚款。

相关条目

编辑

参考资料

编辑

外部链接

编辑