信息安全管理03_信息安全是基于风险的管理 .pdfVIP

信息安全管理03_信息安全是基于风险的管理

如果单说风险管理的话，这个范围包含的内容太⼴了，不是简简单单⼀篇⽂章可以介绍完的。本篇暂时先不对风险管理进⾏过多展开，只是

稍作介绍引出信息安全风险评估，因为风险评估在信息安全领域，占有⾮常重要的位置。

⼀、如何理解风险管理？

如何理解管理“”在《》中已经很详细的阐述过了，风险管理当然不例外也是属于管理范畴，只是加了定语后管理的对象与范围限定在风险管

理领域了。

那么如何理解风险呢？通俗的讲，风险是在某⼀个特定时间段⾥，⼈们所期望达到的⽬标与实际出现的结果之间产⽣的距离称之为风险。在

通俗点的话，风险就是不确定性，通常不确定性给⼈带来不安与担⼼。

风险的不确定性有两种，⼀种定义强调了风险表现为不确定性，简单点说就是风险带来的可能是损失，也可能是收益，但结果是不确定的；

另⼀种定义则强调风险表现为损失的不确定性，简单点说就是风险只会带来损失，但风险程度、损失⼤⼩是不确定的。

基于上⾯的理解，风险“”⽐较讨厌，所以需要管理。怎么管理呢？通过管理程序或活动来控制风险，减少对希望达到⽬标所带来的影响。

⼆、风险管理与风险控制有什么不同？

风险控制是风险管理的⼀种⼿段。风险管理=风险识别+风险控制+风险监测。简单来说:

1、风险识别是发现、分析、评估风险，即要知道哪⾥有风险、有什么风险，风险程度如何。

2、风险控制是将风险控制在可接受程度之内，有四种⼿段：

风险接受：风险在可承受的范围之内，暂时不需要处理，但需要关注并监测趋势发展。

风险降低：通过各种⼿段去降低产⽣风险的要素，将风险降低到预期⽔平。

风险规避：⼀种特殊的处理风险的⽅式，即将产⽣风险的要素彻底消除，风险便随之消除。

风险转移：通过购买保险、转移给供应商等⼿段将风险的损失转嫁出去，但风险管理责任不能转移。

3.风险监测是利⽤量化的关键风险指标来统计、分析风险的发展趋势，进⾏风险的预测与预警。

三、信息安全风险管理相关的⼏个概念

基于《》、《》两篇⽂章和上述的内容，信息安全风险管理已经⾮常容易理解了。但为了后续介绍信息安全风险评估⽅法论，还是需要把信

息安全风险管理的⼀些概念引出来

资产（Asset）：对组织有价值的任何东西。

威胁（Threat）：可能对资产或组织造成损害的某种安全事件发⽣的潜在原因，通常需要识别出威胁源或威胁代理。

弱点（Vulnerability）：也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利⽤的缺点，弱点⼀旦被利⽤，就可能对资产造成

损害。

可能性（Likelihood）：对威胁发⽣⼏率或频率的定性描述。

影响（Impact）：意外事件发⽣给组织带来的直接或间接的损失或伤害。

安全措施（Safeguard）：控制措施或对策，即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、⽅法和措

施。

残留风险（ResidualRisk）：在实施安全措施之后仍然存在的风险。

信息安全风险管理要素之间的关系，可以⽤下图来表

四、最后再简单地总结⼀下

第⼀，所谓的风险管理，就是不断地评估风险、不断地消减风险、不断地接受风险这样的⼀个闭环。

第⼆，所谓的信息安全管理，就是基于所⾯临安全风险，不断地进⾏⾃我改进与提⾼的过程，所以我们也常说信息安全是基于风险的管理。

第三，风险只能控制，可以降低，却不能消除，没有所谓的绝对安全，不存在真正意义的零风险。