字體:小 中 大 | |
|
|
2009/10/29 17:46:33瀏覽1307|回應0|推薦1 | |
Risk Terminology Asset 企業組織所擁有的、可據此在未來產生現金流量的東西,就叫做 asset。講得白話一點,就是 what a company has,例如現金、投資、應收帳款、存貨等有形的流動資產,以及土地、廠房、設備等有形的固定資產,再加上專利 (patent)、營業秘密 (trade secret)、品牌、公司形象、聯盟伙伴與數目、與客戶關係的良窳、客戶的數量、客戶對公司的信任等無形的智慧財產與資產,這些通通都是資產 (asset)。 Asset Valuation asset valuation 的意思是:為資產的價值給定一個貨幣數值。一般而言,有形的資產不難給定一個確切的貨幣數值,但無形的資產就不是那麼地容易了,有時候甚至無法評價而只能分等級;例如,一個專利或營業秘密到底價值多少錢,品牌、公司形象以及「與客戶關係的良窳」等應該如何評價,在在都是個難題。就 risk management 而言,asset valuation 的主要目的是為了執行定量或定性的風險分析。 Threats 當存在著「可用來發掘某系統漏洞或弱點的工具或手法,而且這些工具或手法很可能被居心不良的主體所利用,進而成功地入侵該系統以行圖利或破壞之實」時,這種「可能會發生的不良情境」就稱之為 threat。 Vulnerability 某個系統因為缺乏 safeguard 或 countermeasure 而展現出來的漏洞,抑或是其所配備的 safeguard 與 countermeasure 不夠慎密精良而展現出來的弱點,就稱之為 vulnerability。 Exposure 當某事物處於毫無防備或防備不週的狀態,並且暴露於某個危險主體可以掌控的勢力範圍內,就稱之為 exposure。 Risk 會對資產造成損傷的不良情境,只要有發生的可能性就可將它稱為 risk。就資安的領域而言,所有可能的不良情境恰為 threat 與 vulnerability 的加總,亦即: risk = threat + vulnerability Safeguard 有能力移除去某個系統的 vulnerability 或為某系統抵擋若干個 threat 的主體,就稱之為 safeguard。 在上述的七個術語中,除了 asset valuation 之外,其它的六個術語被稱為資安風險的六大要素,其彼此之間的關係,請參考圖 3.1-1。 |
|
( 創作|其他 ) |