以资产为核心的信息安全风险的构成要素
ISO27001信息安全风险的构成要素:以资产为核心的信息安全风险的构成要素
1993年,英国、法国、德国、荷兰欧共体同加拿大、美国 NIST 和 NSA六国七方组成CC工作组,制定了国际通用的评估准则——CC(CommonCriteria)。并于1996年颁布了CC1.0版,1998年颁布了CC2.0版。1999年6月,ISO接纳CC2.0版为 ISO/IEC 15408草案,并定名为“信息技术-安全技术-IT 安全性评估准则,但仍用CC作为其简称。1999年12月,在广泛征求意见并进行修改后,正式颁布国际标准 ISO/IEC 15408 CC 2.1 版。2001年3月,我国国家质量技术监督局将其作为国家标准GB/T18336正式颁布,并于 2001年正式实施。
CC 标准含3个部分:第一部分:简介和通常模型;第二部分:安全功能要求;第三部分:安全保证要求。其中在第一部分,定义了信息安全风险的构成要素威胁、风 险、脆弱性、资产、对策等关键的风险要素概念和它们所涉及到的主体即所有者和威胁主体。根据 CC 的思想,以所有者要保护的资产作为核心,给出了威胁、风险、脆弱性、对策与资产之间的关系,如下图:
图 CC风险要素和关系
(1)风险要素
① 资产
资产是有价值的信息资产。
② 对策
对策是用以减少脆弱性并满足资产所有者的安全策略。
③ 威胁
能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。
④ 脆弱性
在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的,可能被攻击者利用于获得未授权的信息或破坏关键处理的弱点。
⑤ 风险
风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。
(2)风险要素关系
① 信息资产的所有者给资产赋予了一定的价值,威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏,对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包含以下几种:资产破坏性地暴露于未授权的接受者(丧失保密性);资产由未授权地更改损坏(丧失完整性);资 产的访问权被未授权地剥夺(丧失可用性)。
② 资产所有者必须分析可能的威胁并明确什么存在于他们的环境,其结果就是风险。这种分析会有助于对策的选择,以应对风险并将其降低到1个可接受的水平。
③ 对策的使用能够减少脆弱性,但残留的脆弱性仍能够被威胁者所利用,从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。
义乌3C认证哪里办
义乌3C认证哪里办
义乌3C认证办理,推荐。3C认证流程复杂(涉及申请、测试、验厂等环节),涉及到的办事单位多(申请要向北京CQC总部申请,测试是在地方实验室进行,验厂又必须联络地方的CQC分中心),文件要求多(申请和测试必须提交的专业文件就有二十几份,验厂所需文件更是多达八十几份)。总体而言,3C认证必须很高的专业知识和协调能力,没有经验或第三方协助的话是很难办的。
许多厂家没做过3C认证,可是做过ISO认证,CE认证等简单的认证,就认为办3C认证也是很简单的,申请一下走个过场就能办下来,这是非常错误的观念。没有专业知识、经验和资源,贸然自己去申请,往往花了许多时间精力下去还迟迟拿不到证书,得不偿失。因此办理3C认证尤其是初次办理,建议找专业的咨询公司办理。
专业的人做专业的事。我司就是一家专业从事3C安全检测和3C认证咨询的服务机构,拥有15年认证咨询行业经验,已服务国内两千多家厂家,是国内3C安全检测和认证咨询行业的开拓者和领跑者,欢迎您来电垂询。
一. 我们的3C认证服务流程:
二. 我们的3C认证服务时间表:
备注:以上时间表仅供大致参考,具体的3C认证周期还必须根据产品来具体分析,并且往往差异很大。我们有能力提供加急服务,已满足广大厂商快速获证的需求,欢迎直接来电垂询!
三. 我们的3C认证服务优势:
1. 15年3C认证咨询经验,全面保障服务质量和服务速度;
2. 可提供加急服务,确保产品上市周期或招标时间;
3. 专业测试工程师的技术支持,提供产品测试整改服务;
4. 专业验厂工程师的全程辅导,确保一次性通过验厂,不通过不收费。
5. 获证后提供免费证书状态监控,每一年年审提醒,确保您证书的长期有效性。
----------------------------------------------------------------------------------
假如您想申请3C认证,正头疼不知怎样入手,由衷的希望您给我们来电,我们将为您提供最质优价廉的认证方案并提供相关技术支持,确保您顺当获证!
今日通过对《义乌3C认证哪里办》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。