信息安全风险管理浅析

一次性付费进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

一、风险管理常见名称

在信息安全风险管理中涉及多个名词，下面给出其基本概念。

影响（impact）：对已达到的业务目标水平的不利改变。

威胁（threat）：可能导致对系统或组织的损害的不期望事件发生的潜在原因。

脆弱性（vulnerability）：可能被一个或多个威胁所利用的资产或一组资产的弱点。

信息安全事态（Information Security Event）：指系统、服务或网络的一种可识别的状态的发生，可能是对信息安全策略的违反或防护措施的失效，或是与安全关联的一个先前未知的状态。

信息安全事件（information security incident）：一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大可能性。

信息安全风险（information security risk）：特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。它以事态的可能性及其后果的组合来度量。

风险（risk）：事态的概率及其结果的组合。

风险分析（risk analysis）：系统地使用信息来识别风险来源和估计风险。

风险评估（risk assessment）：风险分析和风险评价的整个过程（ISO/IEC Guide 73：2002）。

风险评价（risk evaluation）：将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。

风险管理（risk management）：指导和控制一个组织相关风险的协调活动。风险管理一般包括风险评估、风险处理、风险接受和风险沟通。

风险规避（risk avoidance）：不卷入风险处境的决定或撤离风险处境的行动。

风险沟通（risk communication）：决策者和其他利益相关者之间关于风险的信息交换或共享。

风险估算（risk estimation）：为风险的可能性和后果赋值的活动。

风险识别（risk identification）：发现和列出风险要素并描述其特征的活动。

风险降低（risk reduction）：为降低风险的可能性和（或）负面结果所采取的行动。

风险保留（risk retention）：对来自特定风险的损失或收益的接受。在信息安全风险的语境下，对于风险保留仅考虑负面后果（损失）。

风险转移（risk transfer）：与另一方对风险带来的损失或收益的共享。在信息安全风险的语境下，对于风险转移仅考虑负面结果（损失）。

保密性（confidentiality）：数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。

完整性（integrity）：数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。

可用性（availability）：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。

二、安全风险管理过程

信息安全风险管理过程由语境建立、风险评估、风险处置、风险接受、风险沟通和风险监视与评审组成，如图1所示。

图1  信息安全风险管理过程

信息安全风险管理过程可以迭代地进行风险评估和（或）风险处置活动。迭代方法进行风险评估可在每次迭代时增加评估的深度和细节。该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间，提供了一个良好的平衡。

首先建立语境，然后进行风险评估。如果风险评估为有效地确定将风险降低至可接受水平所需行动，提供了足够的信息，那么就结束该风险评估，接下来进行风险处置。如果提供的信息不够充分，那么将在修订的语境（例如，风险评价准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代，可能是在整个范围的有限部分上（见图1，风险决策点1）。

风险处置的有效性取决于该风险评估的结果。风险处置后的残余风险可能不会立即达到一个可接受的水平。在这种情况下，如果必要的话，可能需要在改变的语境参数（如风险评估准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代，以及随后的进一步风险处置（见图1，风险决策点2）。

风险接受活动须确保残余风险被组织的管理者明确地接受。例如，在由于成本而省略或推迟实施控制措施的情况下，这点尤其重要。

在整个信息安全风险管理过程期间，重要的是将风险及其处置传达至适当的管理者和运行人员。即使是风险处置前，已识别的风险信息对管理事件可能是非常有价值的，并可能有助于减少潜在损害。管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域，这些均有助于以最有效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案。