安全风险识别
按照目前项目管理称谓,安全威胁也叫安全风险。风险是值特定的威胁或单位资产的脆弱性而导致单位资产损失或伤害的可能性,包括三方面内容:1.对信息或资产产生威胁;2.威胁的发生对资产产生影响;3.威胁具有发生的概率。
从风险来源划分,可分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险等。
自然事件风险是不以人的一直未转移的不可抗的天灾人祸。
人为事件风险分为:意外人为事件风险和有意人为事件风险。有意人为事件风险包括:1.内部窃密和破坏;2.恶意的黑客行为;3.工业(商业)间谍;4.恶意代码;5.侵犯个人隐私;6.其他有意的人为事件威胁。
软件系统风险主要由软件系统体系结构的合理程度及其对外界变化的适应能力产生的各种风险,包括:1.兼容风险;2.维护风险;3.使用风险。
软件过程风险是在软件开发周期过程中可能出现的风险及软件实施过程中外部环境的变化可能引起的风险,包括:1.软件需求阶段的风险;2.设计阶段的风险;3.实施阶段的风险;4.维护阶段的风险。
项目管理风险主要来源于:1.应用软件产品的不可预见性;2.软件的生产过程不存在绝对正确的过程形式;3.信息系统应用项目的独特性。</