据ISO 13335信息安全风险级别定义.docx

据ISO13335信息安全风险级别定义根据ISO13335的定义,风险指的是特定威胁利用某资产或组资产的脆弱性，从而对组织产生损害的可能性。因此，为了确定风险级别，首先需要创建不同级别影响（损害）和可能性的定义，然后基于不同级别的影响和可能性定义，创建不同级别的风险定义。I.影响级别定义根据XXX的实际情况，最终确定影响级别定义如下:影响级别（严亚程度）影响描述5信息遭受篡改或无法使用对XXX的管理运营具有极其严全的影响，4信息遭受篡改或无法使用时刻XXX的管理运营具有严，五的影响。3信息遭受套改或无法使用时对XXX的管理运营具有一定影晌。2信息遭受套改或无法使用时对XXX的管理运营具有轻微影响。1信息遭受套改或无法使用时对XXX的管理运营基本没有影晌。2.可能性级另可能性级，I1.定义定义如F：可能性级别（发生概率）可能性描述5几乎肯定发生：预期住大多数情况下发生，不可避免：或者可以证实经常发生。4非常有可能发生：在大多数情况下，很有可能会发生：或者可以证实发生过。3发生的可能性较大：在某些情况下，很可能会发生。2有可能发生：在某种情况卜或某个时间，可能会发生。1基本不可能发生：发生的可能性很小，不太可能。3.磨獭别矩阵基于以上定义，创建的风险级别矩阵如卜所示:影响可能性123455中高高极高ft*4中中高高极高3低中高高2低低中中高影响可能性I2345I低低中中高