ISO27001信息安全風險的構成要素：面向安全工程過程的信息安全風險的構成要素
1996年，美國國家安全局公布了SSE-CMM的第一個版本，1999年4月又公布了新的版本，系統安全工程能力成熟度模型（System SecurityEngineering-Capability Maturity Model，SSE-CMM）。在SSE-CMM 系統安全工程能力成熟度模型框架中，把安全工程應用到信息系統的開發、集成、操作、管理、維護和進化以及產品的開發、交付和進化，使安全工程在一個系統、 一個產品或一個服務中得到實現。
SSE-CMM 將安全工程劃分為三個基本的過程域：風險，工程，保證。
這三個過程域之間可獨立加以考慮，但它們之間也是相互作用，共同達到安全目標。而每一個過程域包括一組集成的安全過程區（PA）。
（1）風險過程
SSE-CMM 通過風險過程域來獲取組織對安全風險的理解。在風險過程域中，把風險看作是有害事件發生的可能性。一個有害事件或一種具體安全風險的不確定因素由三個部分組成：威脅、脆弱性和影響，如下圖。也就是說風險過程域是由四個過程區威脅識別（PA04）、脆弱性評估（PA05）、影響評估（PA02）、評估安全風險（PA03）組成。
SSE-CMM 風險過程關系
（2）風險過程關系
組織可以對單個的過程區或過程區的組合進行評估，但過程區之間存在著許多的相互關聯。威脅識別產生的威脅信息、脆弱性評估產生脆弱性信息和影響評估產生的影響信息綜合起來決定著安全風險評估的結果。
評估威脅過程區的目的在于識別安全威脅及其性質和特征。但評估威脅過程產生的威脅信息，是與來自PA05的脆弱性信息和來自PA02的影響信息一起使用。因此威脅評估就是根據現有的脆弱性和影響進行某些延伸。
評估脆弱性的目的在于識別和特征化系統的安全脆弱性。脆弱性指的是可被開發利用的系統的一個方面，與任何特殊的威脅或攻擊形成并不相干。
但脆弱性評估過程產生的脆弱性信息，是與來自PA04的威脅信息和來自PA02的影響信息一起使用。因此脆弱性評估就是根據現有相應威脅和影響情況進行某些延伸。
評估影響的目的在于識別危害系統以及喪失機密性、完整性、可用性、可記錄性、可鑒別性或可靠性的影響，并對發生影響的可能性進行評估。影響可能是有形的，例如稅收或財產的丟失，或可能是無形的，例如聲譽和信譽的損失。但影響評估過程產生的影響信息，是與來自PA04的威脅信息和來自PA05的脆弱性信息一起使用。因此影響評估就是根據現有相應的脆弱性進行一定的延伸。
評估安全風險的目的在于識別一給定環境中涉及到某一系統有依賴關系的風險，這些風險是基于對運行能力和可用資源在抗威脅方面和脆弱性程度的已有理解上的。評 估安全風險的風險信息，取決于PA04中的威脅信息、PA05中的脆弱性信息和PA02中的影響信息，確定威脅性、脆弱性和影響危害較大的風險組合，從而 采取合理的相應安全措施。


cmmi認證流程
澳大利亞拒絕商標注冊的絕對理由
醫療器械在哪辦理ISO9001質量管理體系認證
到哪辦理物業公司AAA信用等級全國招投標通用
申請GRS認證TC證書要求以及TC證書填寫注意事項？
315誠信企業到哪可以辦理中國315誠信企業
到哪可以代辦14001環境認證要多長時間
沒有AAA企業信用評級有哪些危害?