信息安全風險管理相關詞匯定義與解析論文

信息安全風險管理相關詞匯定義與解析論文

　　1 風險管理概念解析

　　風險管理是組織管理活動的一部分，其管理的主要對象就是風險。在GB/T 23694—2013 / ISO Guide 73：2009《風險管理 術語》中曾經指出，風險管理由一系列的活動組成，這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程，其準確的定義為：風險管理（risk management）是指在風險方面，指導和控制組織的協調活動。

　　與風險管理定義密切相關的，還有“風險管理框架”和“風險管理過程”兩個詞匯。

　　風險管理框架（risk management framework）是指為設計、執行、監督、評審和持續改進整個組織的風險管理提供基礎和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個有用的注解，分別為：風險管理框架是要素集合，這個框架并不是單獨存在的，這就體現了風險的特點之一，就是一系列的“點”，這些點是要被嵌入（be embedded）。特別值得指出的是，校準（align））、整合（integrate）和嵌入（embed）是信息管理安全領域，也是整個管理學領域的常見詞匯。其中，在戰略層面一般強調校準，即無論是信息安全的戰略還是信息系統的戰略，都應該與組織的整體戰略保持一致。在更細的策略或流程層次，則強調整合或嵌入。例如，已經有人力資源的管理規程，需要嵌入安全管理的部分，或者已經有事件管理規程，將其與信息安全事件管理進行整合。總之，校準、整合和嵌入是值得深入研究的三種方法。

　　風險管理過程強調的是系統化的策略、程序和方法。這三者關系如圖1所示。

　　風險管理過程才體現了信息安全應該如何做（how）的問題。

　　嚴格講，風險管理不僅僅是過程，是一系列的活動。因此，在下文的圖3中，我們特別指出： 風險管理的階段劃分僅作示意。

　　2 風險評估及其過程

　　在GB/T 23694—2013 / ISO Guide 73：2009中，風險評估并不是作為一個單獨的過程定義的。其中定義為：風險評估（risk assessment）包括風險識別、風險分析和風險評價的全過程。

　　風險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當時并沒有單獨把“風險識別”作為一個單獨的階段。或者說，在當時的定義中，“風險識別”是作為“風險分析”的一個階段而出現的，詳細定義為：風險評估包括風險分析和風險評價在內的全過程。

　　為了更好地理解其中的變化，我們在表1中給出了風險評估包括的階段的術語定義。

　　無論如何劃分，風險評估都要完成下面這些活動：

　　在上述三個步驟中，步驟一與步驟二較為通用，或者說，截至到風險分析階段，我們需要確定風險的等級，這都可以按照通用的標準或方法提前定義好。步驟三則不同，這個步驟需要結合組織自己定義的風險準則。

　　3 區分風險評估與風險管理

　　我們可以簡單地認為，風險評估是風險管理的一個階段，只是在更大的風險管理流程中的一個評估風險的階段。如果把風險管理理解成一個“對癥下藥”的過程，那么風險評估就是其中的“對癥”過程，只是找到問題所在，并沒有義務解決。而風險管理是在整個組織內把風險降低到可接受水平的整個過程。主要階段包括風險評估和風險應對（risk treatment） ）。

　　風險管理是一個持續循環，不斷上升的過程，它被定義為一個持續的周期，每隔一個階段就開始新的循環，這些循環要貫穿組織的始終，是組織管理的一部分。風險評估則更像“搞運動”，其一般按照一定的時間間隔進行，但是如果發生組織業務變化、出理新的漏洞或基礎機構變化等，都可能啟動新的風險評估過程。

　　風險管理的循環過程不是在原地踏步的，它的每一次新循環都應該上一個新的臺階，呈螺旋上升的形狀。如圖3所示。

　　這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風險評估，在每一次風險評估中都會發現潛在的問題，并在接下來的風險應對過程中加以解決，從而使組織管理風險的能力得到提升。

　　4 風險應對概念解析

　　無論風險評估步驟進行得多么完美，都只是找到了問題，而解決問題應該是組織的最終目的。風險應對的步驟就是評估、選擇并且執行這些改進措施的過程。

　　風險應對（risk treatment）是指處理8）風險的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個定義也有詳細的注解，包括：

　　“風險應對”定義的注1較為詳細，其中給出了可能的應對措施，其中1）規避風險，6）分擔或轉移風險以及）接受風險，與ISO/IEC 27001：2005的描述基本類似，）為尋求機會而承擔或增加風險更偏重組織業務角度視角，3）、4）與5）則是降低風險的基本途徑，這三項的任何之一都可以改變目前的風險狀況。

【信息安全風險管理相關詞匯定義與解析論文】相關文章：

信息安全風險管理理論03-12

信息安全管理論文06-21

信息安全管理論文(經典)06-23

信息安全外包的風險03-14

風險管理內部審計論文11-23

風險管理論文06-22

電子檔案信息安全管理分析論文02-15

關于市場營銷風險分析及成因的相關論文01-26

企業風險管理論文02-20

關于英語論文開題報告相關信息11-20