1.常見(jiàn)風(fēng)險(xiǎn)管理概念

風(fēng)險(xiǎn)，在GB/T 22081中定義為事態(tài)的概率及其結(jié)果的組合。風(fēng)險(xiǎn)的目標(biāo)可能有很多不同的方面，如財(cái)務(wù)目標(biāo)、健康和人身安全目標(biāo)、信息安全目標(biāo)和環(huán)境目標(biāo)等；目標(biāo)也可能有不同的級(jí)別，如戰(zhàn)略目標(biāo)、組織目標(biāo)、項(xiàng)目目標(biāo)、產(chǎn)品目標(biāo)和過(guò)程目標(biāo)等。風(fēng)險(xiǎn)經(jīng)常通過(guò)引用潛在事態(tài)和后果或這些的組合來(lái)描述。影響，是對(duì)一個(gè)預(yù)期的偏離，正面的或負(fù)面的偏離。 風(fēng)險(xiǎn)帶來(lái)的影響，通常都是負(fù)面的（正面的影響通常不被稱為風(fēng)險(xiǎn)）。風(fēng)險(xiǎn)是客觀存在的。 風(fēng)險(xiǎn)和不確定性緊密相連，但又不能完全等同。風(fēng)險(xiǎn)強(qiáng)調(diào)的是損害的潛在可能性，而不是事實(shí)上的損害。風(fēng)險(xiǎn)不能消除殆盡，包括人為因素帶來(lái)的風(fēng)險(xiǎn)，也一樣不能消除殆盡。衡量風(fēng)險(xiǎn)的兩個(gè)基本要素就是事件的概率和影響。

威脅利用脆弱性作用于資產(chǎn)產(chǎn)生影響，威脅增加了組織資產(chǎn)的風(fēng)險(xiǎn)，脆弱點(diǎn)能夠暴露資產(chǎn)，脆弱性本身不會(huì)構(gòu)成對(duì)資產(chǎn)的損害，但是脆弱性被威脅利用同樣會(huì)增加組織資產(chǎn)的風(fēng)險(xiǎn)；影響有來(lái)自正面的和負(fù)面的，正面的影響可以為組織帶來(lái)促進(jìn)；而負(fù)面的影響會(huì)增加組織風(fēng)險(xiǎn)。因此，組織應(yīng)該根據(jù)風(fēng)險(xiǎn)建立相應(yīng)的保護(hù)要求，通過(guò)構(gòu)架防護(hù)措施降低風(fēng)險(xiǎn)對(duì)組織產(chǎn)生的影響。

在GB/T22080中，風(fēng)險(xiǎn)管理被定義為指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。風(fēng)險(xiǎn)管理由三個(gè)部分組成：風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)減緩以及基于風(fēng)險(xiǎn)的決策。風(fēng)險(xiǎn)評(píng)估過(guò)程將全面評(píng)估信息系統(tǒng)的資產(chǎn)、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件發(fā)生的可能性以及可能的損失，從而確定信息系統(tǒng)的風(fēng)險(xiǎn)，并判斷風(fēng)險(xiǎn)的優(yōu)先級(jí)，建議處理風(fēng)險(xiǎn)的措施。基于風(fēng)險(xiǎn)評(píng)估的結(jié)果，風(fēng)險(xiǎn)處理過(guò)程將考察信息安全措施的成本，選擇合適的方法處理風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制到可接受的程度。基于風(fēng)險(xiǎn)的決策是風(fēng)險(xiǎn)管理的最后過(guò)程，旨在由信息系統(tǒng)的主管者或運(yùn)營(yíng)者判斷殘余風(fēng)險(xiǎn)是否處在可接受的水平之內(nèi)。基于這一判斷，主管者或運(yùn)營(yíng)者將做出決策，決定是否允許信息系統(tǒng)運(yùn)行。