信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析論文

　　1 風(fēng)險(xiǎn)管理概念解析

　　風(fēng)險(xiǎn)管理是組織管理活動(dòng)的一部分，其管理的主要對(duì)象就是風(fēng)險(xiǎn)。在GB/T 23694—2013 / ISO Guide 73：2009《風(fēng)險(xiǎn)管理 術(shù)語(yǔ)》中曾經(jīng)指出，風(fēng)險(xiǎn)管理由一系列的活動(dòng)組成，這些活動(dòng)包括了標(biāo)識(shí)、評(píng)價(jià)、處理和可能影響組織正常運(yùn)行事件的整個(gè)過(guò)程，其準(zhǔn)確的定義為：風(fēng)險(xiǎn)管理（risk management）是指在風(fēng)險(xiǎn)方面，指導(dǎo)和控制組織的協(xié)調(diào)活動(dòng)。

　　與風(fēng)險(xiǎn)管理定義密切相關(guān)的，還有“風(fēng)險(xiǎn)管理框架”和“風(fēng)險(xiǎn)管理過(guò)程”兩個(gè)詞匯。

　　風(fēng)險(xiǎn)管理框架（risk management framework）是指為設(shè)計(jì)、執(zhí)行、監(jiān)督、評(píng)審和持續(xù)改進(jìn)整個(gè)組織的風(fēng)險(xiǎn)管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個(gè)有用的注解，分別為：風(fēng)險(xiǎn)管理框架是要素集合，這個(gè)框架并不是單獨(dú)存在的，這就體現(xiàn)了風(fēng)險(xiǎn)的特點(diǎn)之一，就是一系列的“點(diǎn)”，這些點(diǎn)是要被嵌入（be embedded）。特別值得指出的是，校準(zhǔn)（align））、整合（integrate）和嵌入（embed）是信息管理安全領(lǐng)域，也是整個(gè)管理學(xué)領(lǐng)域的常見(jiàn)詞匯。其中，在戰(zhàn)略層面一般強(qiáng)調(diào)校準(zhǔn)，即無(wú)論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略，都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細(xì)的策略或流程層次，則強(qiáng)調(diào)整合或嵌入。例如，已經(jīng)有人力資源的管理規(guī)程，需要嵌入安全管理的部分，或者已經(jīng)有事件管理規(guī)程，將其與信息安全事件管理進(jìn)行整合�？傊�，校準(zhǔn)、整合和嵌入是值得深入研究的三種方法。

　　風(fēng)險(xiǎn)管理過(guò)程強(qiáng)調(diào)的是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。

　　風(fēng)險(xiǎn)管理過(guò)程才體現(xiàn)了信息安全應(yīng)該如何做（how）的問(wèn)題。

　　嚴(yán)格講，風(fēng)險(xiǎn)管理不僅僅是過(guò)程，是一系列的活動(dòng)。因此，在下文的圖3中，我們特別指出： 風(fēng)險(xiǎn)管理的階段劃分僅作示意。

　　2 風(fēng)險(xiǎn)評(píng)估及其過(guò)程

　　在GB/T 23694—2013 / ISO Guide 73：2009中，風(fēng)險(xiǎn)評(píng)估并不是作為一個(gè)單獨(dú)的過(guò)程定義的。其中定義為：風(fēng)險(xiǎn)評(píng)估（risk assessment）包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。

　　風(fēng)險(xiǎn)評(píng)估的過(guò)程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當(dāng)時(shí)并沒(méi)有單獨(dú)把“風(fēng)險(xiǎn)識(shí)別”作為一個(gè)單獨(dú)的階段。或者說(shuō)，在當(dāng)時(shí)的定義中，“風(fēng)險(xiǎn)識(shí)別”是作為“風(fēng)險(xiǎn)分析”的一個(gè)階段而出現(xiàn)的，詳細(xì)定義為：風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)在內(nèi)的全過(guò)程。

　　為了更好地理解其中的變化，我們?cè)诒?中給出了風(fēng)險(xiǎn)評(píng)估包括的階段的術(shù)語(yǔ)定義。

　　無(wú)論如何劃分，風(fēng)險(xiǎn)評(píng)估都要完成下面這些活動(dòng)：

　　在上述三個(gè)步驟中，步驟一與步驟二較為通用，或者說(shuō)，截至到風(fēng)險(xiǎn)分析階段，我們需要確定風(fēng)險(xiǎn)的等級(jí)，這都可以按照通用的標(biāo)準(zhǔn)或方法提前定義好。步驟三則不同，這個(gè)步驟需要結(jié)合組織自己定義的風(fēng)險(xiǎn)準(zhǔn)則。

　　3 區(qū)分風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理

　　我們可以簡(jiǎn)單地認(rèn)為，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的一個(gè)階段，只是在更大的風(fēng)險(xiǎn)管理流程中的一個(gè)評(píng)估風(fēng)險(xiǎn)的階段。如果把風(fēng)險(xiǎn)管理理解成一個(gè)“對(duì)癥下藥”的過(guò)程，那么風(fēng)險(xiǎn)評(píng)估就是其中的“對(duì)癥”過(guò)程，只是找到問(wèn)題所在，并沒(méi)有義務(wù)解決。而風(fēng)險(xiǎn)管理是在整個(gè)組織內(nèi)把風(fēng)險(xiǎn)降低到可接受水平的整個(gè)過(guò)程。主要階段包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)（risk treatment） ）。

　　風(fēng)險(xiǎn)管理是一個(gè)持續(xù)循環(huán)，不斷上升的過(guò)程，它被定義為一個(gè)持續(xù)的周期，每隔一個(gè)階段就開始新的循環(huán)，這些循環(huán)要貫穿組織的始終，是組織管理的一部分。風(fēng)險(xiǎn)評(píng)估則更像“搞運(yùn)動(dòng)”，其一般按照一定的時(shí)間間隔進(jìn)行，但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機(jī)構(gòu)變化等，都可能啟動(dòng)新的風(fēng)險(xiǎn)評(píng)估過(guò)程。

　　風(fēng)險(xiǎn)管理的循環(huán)過(guò)程不是在原地踏步的，它的每一次新循環(huán)都應(yīng)該上一個(gè)新的臺(tái)階，呈螺旋上升的形狀。如圖3所示。

　　這種臺(tái)階或者檔次的上升的來(lái)源就是組織定期或臨時(shí)啟動(dòng)的風(fēng)險(xiǎn)評(píng)估，在每一次風(fēng)險(xiǎn)評(píng)估中都會(huì)發(fā)現(xiàn)潛在的問(wèn)題，并在接下來(lái)的風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程中加以解決，從而使組織管理風(fēng)險(xiǎn)的能力得到提升。

　　4 風(fēng)險(xiǎn)應(yīng)對(duì)概念解析

　　無(wú)論風(fēng)險(xiǎn)評(píng)估步驟進(jìn)行得多么完美，都只是找到了問(wèn)題，而解決問(wèn)題應(yīng)該是組織的最終目的。風(fēng)險(xiǎn)應(yīng)對(duì)的步驟就是評(píng)估、選擇并且執(zhí)行這些改進(jìn)措施的過(guò)程。

　　風(fēng)險(xiǎn)應(yīng)對(duì)（risk treatment）是指處理8）風(fēng)險(xiǎn)的過(guò)程。在GB/T 23694—2013 / ISO Guide 73：2009中，對(duì)這個(gè)定義也有詳細(xì)的注解，包括：

　　“風(fēng)險(xiǎn)應(yīng)對(duì)”定義的注1較為詳細(xì)，其中給出了可能的應(yīng)對(duì)措施，其中1）規(guī)避風(fēng)險(xiǎn)，6）分擔(dān)或轉(zhuǎn)移風(fēng)險(xiǎn)以及）接受風(fēng)險(xiǎn)，與ISO/IEC 27001：2005的描述基本類似，）為尋求機(jī)會(huì)而承擔(dān)或增加風(fēng)險(xiǎn)更偏重組織業(yè)務(wù)角度視角，3）、4）與5）則是降低風(fēng)險(xiǎn)的基本途徑，這三項(xiàng)的任何之一都可以改變目前的風(fēng)險(xiǎn)狀況。

【信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析論文】相關(guān)文章：

信息安全風(fēng)險(xiǎn)管理理論03-12

信息安全管理論文06-21

信息安全管理論文(經(jīng)典)06-23

信息安全外包的風(fēng)險(xiǎn)03-14

風(fēng)險(xiǎn)管理內(nèi)部審計(jì)論文11-23

風(fēng)險(xiǎn)管理論文06-22

電子檔案信息安全管理分析論文02-15

關(guān)于市場(chǎng)營(yíng)銷風(fēng)險(xiǎn)分析及成因的相關(guān)論文01-26

企業(yè)風(fēng)險(xiǎn)管理論文02-20

關(guān)于英語(yǔ)論文開題報(bào)告相關(guān)信息11-20