SSE一CMM安全工程过程之风险过程

1.风险过程

系统安全工程的主要目标就是降低风险到可接受范围。安全工程中的风险三要素是影响、威胁和脆弱性。如果不存在脆弱性和威胁，则不存在有害事件，也就不存在风险。风险评估是调查和量化风险的过程。它是安全管理的一个重要部分。下图显示的是风险过程包括的过程区域。

注意：通常风险管理中的风险三要素是资产、威胁和脆弱性。与安全工程中的风险三要素并不矛盾， “影响”即指对“资产”安全的影响，资产越有价值，影响也就越大。

（一）安全措施的实施可以降低风险，但不可能消除所有威胁或根除某个具体威胁，必须接受残留的风险。在存在很大的不确定性盼隋况下，由于风险度量不精确的本质特征，因此通常情况下会出现纠结于在何种程度上接受风险才是恰当的。