信息系统威胁识别(threat identification),管理学-管理科学与工程-信息管理与信息系统-信息系统安全管理-信息系统安全风险评估-信息系统威胁识别,识别可能导致系统或组织及其资产被破坏的潜在可能性因素,以及对相应威胁进行分类和赋值等活动。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意行为和非恶意行为。例如,恶意行为包括网页篡改、恶意代码、泄密行为、黑客行为和社会工程等;非恶意行为包括人为错误/失误、计算机未锁定、存储设备丢失和公共场所的敏感谈话等。环境因素可分为自然界不可抗力的因素和其他物理因素。例如,不可抗力的环境因素包括雷电、火灾、水灾和地震等;其他物理因素包括电源故障、电磁干扰、通信故障和软件缺陷等。威胁赋值:判断威胁出现的频率,根据经验或统计数据评估威胁发生的概率。对威胁发生的概率进行等级化处理,等级数值越大表示威胁出现的频率越高。下表是威胁发生概率的一种赋值方法。