风险管理概念

2.1.1   风险管理概念

信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全，信息是指信息系统中采集、处理、存储的数据和文件等内容；信息载体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体；信息环境指信息及信息载体所处的环境，包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境。

信息是流动的，在信息的流动过程中必须能够识别所有可能途径的载体与环境；而对于信息本身而言，信息的敏感性的定义是对信息保护的基础和依据，信息在不同的环境存储和表现的形式也决定了风险管理的效果，不同的载体下，可能体现出信息的永久性、临时性和信崽的交互场景i这使得风险管理变得复杂和不可预测。例如：信息需要永久存储在数

据库服务器中；在完成事务处理过程时，信息在中间件中以虚表的形式完成事务，并删除虚表；信息有可能在表现层，也就是Web应用服务器中残留，并且在用户端驻留在Cookies或者临时文件之中。信息安全风险管理是基于风险的信息安全管理，也就是，始终以风险为主线进行信息安全的管理。应根据实际信息系统的不同来理解信息安全风险管理的侧重点，即风险管理选择的范围和对象重点应有所不同。