常见风险管理概念

1.常见风险管理概念

风险，在GB/T 22081中定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面，如财务目标、健康和人身安全目标、信息安全目标和环境目标等；目标也可能有不同的级别，如战略目标、组织目标、项目目标、产品目标和过程目标等。风险经常通过引用潜在事态和后果或这些的组合来描述。影响，是对一个预期的偏离，正面的或负面的偏离。 风险带来的影响，通常都是负面的（正面的影响通常不被称为风险）。风险是客观存在的。 风险和不确定性紧密相连，但又不能完全等同。风险强调的是损害的潜在可能性，而不是事实上的损害。风险不能消除殆尽，包括人为因素带来的风险，也一样不能消除殆尽。衡量风险的两个基本要素就是事件的概率和影响。

威胁利用脆弱性作用于资产产生影响，威胁增加了组织资产的风险，脆弱点能够暴露资产，脆弱性本身不会构成对资产的损害，但是脆弱性被威胁利用同样会增加组织资产的风险；影响有来自正面的和负面的，正面的影响可以为组织带来促进；而负面的影响会增加组织风险。因此，组织应该根据风险建立相应的保护要求，通过构架防护措施降低风险对组织产生的影响。

在GB/T22080中，风险管理被定义为指导和控制一个组织相关风险的协调活动。风险管理由三个部分组成：风险评估、风险减缓以及基于风险的决策。风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定信息系统的风险，并判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察信息安全措施的成本，选择合适的方法处理风险，将风险控制到可接受的程度。基于风险的决策是风险管理的最后过程，旨在由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内。基于这一判断，主管者或运营者将做出决策，决定是否允许信息系统运行。