息系統(tǒng)的風(fēng)險(xiǎn)承受力 是威脅通過脆弱性作用于息系統(tǒng)形成風(fēng)險(xiǎn)的轉(zhuǎn)化條件。息系統(tǒng)的風(fēng)險(xiǎn)承

 

受力反映的是息系統(tǒng)受到攻擊等情況時(shí)，維持業(yè)務(wù)運(yùn)行基本的服務(wù)和保護(hù)息資產(chǎn)的 抵抗力、識別

 

力、恢復(fù)力和自適應(yīng)力。抵抗力是一個(gè)系統(tǒng)抵抗攻擊的能力，識別力是系統(tǒng)識別攻擊和損壞程度的能力，

 

恢復(fù)力是在受到攻擊后恢復(fù)系統(tǒng)的能力，自適 應(yīng)力是根據(jù)歷史上受到攻擊或故障發(fā)生情況下防御和抵抗

 

類似情況的能力。不同的組織的業(yè)務(wù)特點(diǎn)、規(guī)模、技術(shù)人員水平、需求標(biāo)準(zhǔn)、培訓(xùn)教育水平能力

 

、 員工意識強(qiáng)弱、實(shí)施的控制狀態(tài)、事件預(yù)警水平、應(yīng)急響應(yīng)能力都是不同，對風(fēng)險(xiǎn)的抵

 

抗和防御表現(xiàn)也是不同的。當(dāng)風(fēng)險(xiǎn)事件發(fā)生時(shí)，風(fēng)險(xiǎn)承受力相對 較強(qiáng)的組織可能會啟動應(yīng)急方案、組織

 

高水平的搶救團(tuán)隊(duì)，使風(fēng)險(xiǎn)損失降低到組織可承受的范圍內(nèi)；而風(fēng)險(xiǎn)承受力相對較弱的組織，可能會因?yàn)?

 

沒有方法來控制風(fēng)險(xiǎn) 而放任風(fēng)險(xiǎn)發(fā)生，造成巨大損失。

(5)確定息風(fēng)險(xiǎn)評估依據(jù)和方法

 

  ISO27001息風(fēng)險(xiǎn)評估依據(jù)包括現(xiàn)有國際或 有關(guān)息標(biāo)準(zhǔn)、組織的行業(yè)主管的業(yè)務(wù)系統(tǒng)的要求和制度、組織的息系統(tǒng)互聯(lián)單位的要求、組織的息系統(tǒng) 本身的實(shí)時(shí)性或性能要求等。根據(jù)息評估風(fēng)險(xiǎn)依據(jù)，并綜合考慮息K險(xiǎn)評估的目的、范圍、時(shí)間、效果、評估人員素質(zhì)等因素，選擇具體的風(fēng)險(xiǎn)計(jì)算方 法，并依據(jù)組織業(yè)務(wù)實(shí)施對系統(tǒng)運(yùn)行的需求.確定相關(guān)的評估剡斷依據(jù)，使之能夠與組織壞境和要求相適應(yīng)。