1.常見風(fēng)險管理概念

風(fēng)險，在GB/T 22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險的目標(biāo)可能有很多不同的方面，如財務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等；目標(biāo)也可能有不同的級別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項目目標(biāo)、產(chǎn)品目標(biāo)和過程目標(biāo)等。風(fēng)險經(jīng)常通過引用潛在事態(tài)和后果或這些的組合來描述。影響，是對一個預(yù)期的偏離，正面的或負(fù)面的偏離。 風(fēng)險帶來的影響，通常都是負(fù)面的（正面的影響通常不被稱為風(fēng)險）。風(fēng)險是客觀存在的。 風(fēng)險和不確定性緊密相連，但又不能完全等同。風(fēng)險強調(diào)的是損害的潛在可能性，而不是事實上的損害。風(fēng)險不能消除殆盡，包括人為因素帶來的風(fēng)險，也一樣不能消除殆盡。衡量風(fēng)險的兩個基本要素就是事件的概率和影響。

威脅利用脆弱性作用于資產(chǎn)產(chǎn)生影響，威脅增加了組織資產(chǎn)的風(fēng)險，脆弱點能夠暴露資產(chǎn)，脆弱性本身不會構(gòu)成對資產(chǎn)的損害，但是脆弱性被威脅利用同樣會增加組織資產(chǎn)的風(fēng)險；影響有來自正面的和負(fù)面的，正面的影響可以為組織帶來促進(jìn)；而負(fù)面的影響會增加組織風(fēng)險。因此，組織應(yīng)該根據(jù)風(fēng)險建立相應(yīng)的保護(hù)要求，通過構(gòu)架防護(hù)措施降低風(fēng)險對組織產(chǎn)生的影響。

在GB/T22080中，風(fēng)險管理被定義為指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動。風(fēng)險管理由三個部分組成：風(fēng)險評估、風(fēng)險減緩以及基于風(fēng)險的決策。風(fēng)險評估過程將全面評估信息系統(tǒng)的資產(chǎn)、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件發(fā)生的可能性以及可能的損失，從而確定信息系統(tǒng)的風(fēng)險，并判斷風(fēng)險的優(yōu)先級，建議處理風(fēng)險的措施?；陲L(fēng)險評估的結(jié)果，風(fēng)險處理過程將考察信息安全措施的成本，選擇合適的方法處理風(fēng)險，將風(fēng)險控制到可接受的程度。基于風(fēng)險的決策是風(fēng)險管理的最后過程，旨在由信息系統(tǒng)的主管者或運營者判斷殘余風(fēng)險是否處在可接受的水平之內(nèi)。基于這一判斷，主管者或運營者將做出決策，決定是否允許信息系統(tǒng)運行。