1.常見風險管理概念

風險，在GB/T 22081中定義為事態(tài)的概率及其結果的組合。風險的目標可能有很多不同的方面，如財務目標、健康和人身安全目標、信息安全目標和環(huán)境目標等；目標也可能有不同的級別，如戰(zhàn)略目標、組織目標、項目目標、產品目標和過程目標等。風險經常通過引用潛在事態(tài)和后果或這些的組合來描述。影響，是對一個預期的偏離，正面的或負面的偏離。 風險帶來的影響，通常都是負面的（正面的影響通常不被稱為風險）。風險是客觀存在的。 風險和不確定性緊密相連，但又不能完全等同。風險強調的是損害的潛在可能性，而不是事實上的損害。風險不能消除殆盡，包括人為因素帶來的風險，也一樣不能消除殆盡。衡量風險的兩個基本要素就是事件的概率和影響。

威脅利用脆弱性作用于資產產生影響，威脅增加了組織資產的風險，脆弱點能夠暴露資產，脆弱性本身不會構成對資產的損害，但是脆弱性被威脅利用同樣會增加組織資產的風險；影響有來自正面的和負面的，正面的影響可以為組織帶來促進；而負面的影響會增加組織風險。因此，組織應該根據(jù)風險建立相應的保護要求，通過構架防護措施降低風險對組織產生的影響。

在GB/T22080中，風險管理被定義為指導和控制一個組織相關風險的協(xié)調活動。風險管理由三個部分組成：風險評估、風險減緩以及基于風險的決策。風險評估過程將全面評估信息系統(tǒng)的資產、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件發(fā)生的可能性以及可能的損失，從而確定信息系統(tǒng)的風險，并判斷風險的優(yōu)先級，建議處理風險的措施?；陲L險評估的結果，風險處理過程將考察信息安全措施的成本，選擇合適的方法處理風險，將風險控制到可接受的程度?；陲L險的決策是風險管理的最后過程，旨在由信息系統(tǒng)的主管者或運營者判斷殘余風險是否處在可接受的水平之內?；谶@一判斷，主管者或運營者將做出決策，決定是否允許信息系統(tǒng)運行。