如果单说风险管理的话,这个范围包含的内容太广了,不是简简单单一篇文章可以介绍完的。本篇暂时先不对风险管理进行过多展开,只是稍作介绍引出信息安全风险评估,因为风险评估在信息安全领域,占有非常重要的位置。
一、如何理解风险管理?
如何理解“管理”在《关于管理的定义与解释》中已经很详细的阐述过了,风险管理当然不例外也是属于管理范畴,只是加了定语后管理的对象与范围限定在风险管理领域了。
那么如何理解风险呢?通俗的讲,风险是在某一个特定时间段里,人们所期望达到的目标与实际出现的结果之间产生的距离称之为风险。在通俗点的话,风险就是不确定性,通常不确定性给人带来不安与担心。
风险的不确定性有两种,一种定义强调了风险表现为不确定性,简单点说就是风险带来的可能是损失,也可能是收益,但结果是不确定的;另一种定义则强调风险表现为损失的不确定性,简单点说就是风险只会带来损失,但风险程度、损失大小是不确定的。
基于上面的理解,“风险”比较讨厌,所以需要管理。怎么管理呢?通过管理程序或活动来控制风险,减少对希望达到目标所带来的影响。
二、风险管理与风险控制有什么不同?
风险控制是风险管理的一种手段。风险管理=风险识别+风险控制+风险监测。简单来说:
1、风险识别是发现、分析、评估风险,即要知道哪里有风险、有什么风险,风险程度如何。
2、风险控制是将风险控制在可接受程度之内,有四种手段:
3.风险监测是利用量化的关键风险指标来统计、分析风险的发展趋势,进行风险的预测与预警。
三、信息安全风险管理相关的几个概念
基于《关于管理的定义与解释》、《信息安全内涵与外延》两篇文章和上述的内容,信息安全风险管理已经非常容易理解了。但为了后续介绍信息安全风险评估方法论,还是需要把信息安全风险管理的一些概念引出来
信息安全风险管理要素之间的关系,可以用下图来表
四、最后再简单地总结一下
第一,所谓的风险管理,就是不断地评估风险、不断地消减风险、不断地接受风险这样的一个闭环。
第二,所谓的信息安全管理,就是基于所面临安全风险,不断地进行自我改进与提高的过程,所以我们也常说信息安全是基于风险的管理。
第三,风险只能控制,可以降低,却不能消除,没有所谓的绝对安全,不存在真正意义的零风险。
原文:https://www.cnblogs.com/weyanxy/p/13425266.html