ISO27001认证|威胁与脆弱性说明

添加时间：2017/6/29  录入：云南奔烁咨询  来源：云南奔烁咨询

        威胁是一个组织的信息资产可能受到的安全侵害。无论多么安全的信息系统，威胁都是客观存在的，它是风险评估的重要因素之一。脆弱性是信息资产或防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。能被威胁利用的安全程序、技术控制措施、物理控制措施或其他控制措施中的条件和弱点，或缺乏控制措施，都被认为是脆弱性。
        脆弱性是资产或系统本身客观存在的，但是它本身不会造成风险，它是一种造成风险的条件或环境，一旦被威胁利用，就会造成实际的风险。威胁是资产或系统客观面临的，不会因系统的状况改变而发生改变。没有威胁的脆弱性或没有可利用脆弱性的威胁都不会造成实际的风险。

【返回 】