- 1、本文档共1页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
信息安全管理03_信息安全是基于风险的管理
如果单说风险管理的话,这个范围包含的内容太⼴了,不是简简单单⼀篇⽂章可以介绍完的。本篇暂时先不对风险管理进⾏过多展开,只是
稍作介绍引出信息安全风险评估,因为风险评估在信息安全领域,占有⾮常重要的位置。
⼀、如何理解风险管理?
如何理解管理“”在《》中已经很详细的阐述过了,风险管理当然不例外也是属于管理范畴,只是加了定语后管理的对象与范围限定在风险管
理领域了。
那么如何理解风险呢?通俗的讲,风险是在某⼀个特定时间段⾥,⼈们所期望达到的⽬标与实际出现的结果之间产⽣的距离称之为风险。在
通俗点的话,风险就是不确定性,通常不确定性给⼈带来不安与担⼼。
风险的不确定性有两种,⼀种定义强调了风险表现为不确定性,简单点说就是风险带来的可能是损失,也可能是收益,但结果是不确定的;
另⼀种定义则强调风险表现为损失的不确定性,简单点说就是风险只会带来损失,但风险程度、损失⼤⼩是不确定的。
基于上⾯的理解,风险“”⽐较讨厌,所以需要管理。怎么管理呢?通过管理程序或活动来控制风险,减少对希望达到⽬标所带来的影响。
⼆、风险管理与风险控制有什么不同?
风险控制是风险管理的⼀种⼿段。风险管理=风险识别+风险控制+风险监测。简单来说:
1、风险识别是发现、分析、评估风险,即要知道哪⾥有风险、有什么风险,风险程度如何。
2、风险控制是将风险控制在可接受程度之内,有四种⼿段:
风险接受:风险在可承受的范围之内,暂时不需要处理,但需要关注并监测趋势发展。
风险降低:通过各种⼿段去降低产⽣风险的要素,将风险降低到预期⽔平。
风险规避:⼀种特殊的处理风险的⽅式,即将产⽣风险的要素彻底消除,风险便随之消除。
风险转移:通过购买保险、转移给供应商等⼿段将风险的损失转嫁出去,但风险管理责任不能转移。
3.风险监测是利⽤量化的关键风险指标来统计、分析风险的发展趋势,进⾏风险的预测与预警。
三、信息安全风险管理相关的⼏个概念
基于《》、《》两篇⽂章和上述的内容,信息安全风险管理已经⾮常容易理解了。但为了后续介绍信息安全风险评估⽅法论,还是需要把信
息安全风险管理的⼀些概念引出来
资产(Asset):对组织有价值的任何东西。
威胁(Threat):可能对资产或组织造成损害的某种安全事件发⽣的潜在原因,通常需要识别出威胁源或威胁代理。
弱点(Vulnerability):也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利⽤的缺点,弱点⼀旦被利⽤,就可能对资产造成
损害。
可能性(Likelihood):对威胁发⽣⼏率或频率的定性描述。
影响(Impact):意外事件发⽣给组织带来的直接或间接的损失或伤害。
安全措施(Safeguard):控制措施或对策,即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、⽅法和措
施。
残留风险(ResidualRisk):在实施安全措施之后仍然存在的风险。
信息安全风险管理要素之间的关系,可以⽤下图来表
四、最后再简单地总结⼀下
第⼀,所谓的风险管理,就是不断地评估风险、不断地消减风险、不断地接受风险这样的⼀个闭环。
第⼆,所谓的信息安全管理,就是基于所⾯临安全风险,不断地进⾏⾃我改进与提⾼的过程,所以我们也常说信息安全是基于风险的管理。
第三,风险只能控制,可以降低,却不能消除,没有所谓的绝对安全,不存在真正意义的零风险。
文档评论(0)