资讯资产

在组织信息安全、计算机安全及网络安全领域中的资讯资产（或简称资产）是指在组织中支援资讯相关活动的资讯、人员、软件、硬件、环境。资讯资产一般会包括硬件（服务器及网络切换器）、软件（任务关键应用程序及支援系统）及机密资讯^[1]^[2]。资讯资产需要加以保护，避免非法存取、使用、揭露、更改、破坏或是被窃，也避免造成组织的损失^[3]。

资讯安全三要素

信息安全的目的是要确保在众多威胁（英语：Threat (computer)）下，可以维持资产的保密（Confidentiality）、完整性（Integrity）、可用性（Availability）。例如白帽黑客会利用漏洞进行网络攻击，以窃取信用卡的卡号。资讯安全专家需要评估攻击可能的影响，并且布署适当的对策（英语：countermeasure (computer)）^[4]。以这个例子而言，对策可能是防火墙以及对卡号的加密。

风险分析

在进行风险分析时，需要评估各个资产若损失时会产生的成本，进而评估要花多少经费来保护这些资产，也需要评估各个资产损失的几率。考虑时也需要考虑无形成本。例如骇客偷走了某信用卡公司的所有信用卡卡号，信用卡公司没有任何直接损失，不过在商誉上会有很大的影响，也会有高额的罚款。

参考资料

^ ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management. [2019-08-05]. （原始内容存档于2016-12-31）.
^ ENISA Glossary. [2019-08-05]. （原始内容存档于2012-02-29）.
^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 （页面存档备份，存于互联网档案馆）;
^ IETF RFC 2828

外部链接

FISMApedia TERM

[ISO13335-1] ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management. [2019-08-05]. （原始内容存档于2016-12-31）.

[2] ENISA Glossary. [2019-08-05]. （原始内容存档于2012-02-29）.

[FAIR-3] "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 （页面存档备份，存于互联网档案馆）;

[RFC2828-4] IETF RFC 2828

[1]

[2]

[3]

[4]

资讯安全三要素

风险分析

相关条目

参考资料

外部链接