国际标准ISO/IEC 27005:2008对信息安全风险的定义是:某种特定的威胁利用资产或一组资产的脆弱点,导致这些资产存在受损或破坏的潜在可能,通常用事态的可能性及其后果的组合来测量。
ISO/IEC 27005认为,信息安全风险管理过程可能循环进行风险评估和/或风险处置活动。风险评估的循环方法能够使得每一次循环更加深入和具体,循环方法可以在确保高风险被准确识别和识别控制措施上花费最小的时间与精力之间寻找平衡。首先确定范畴,然后进行风险评估。如果风险评估为进行有效决策的提供了充分的信息,以确定将风险降低到可接受级别所需活动,则风险评估任务结束,可开始进行风险处置。如果信息不够充分,则进行另外一个修订范畴和风险评估的循环,也可能是整个范围内的部分内容进行循环。(www.xing528.com)
有效的风险处置依赖于风险评估的结果。风险处置可能不会立即将残余风险降低到可以接受的级别。对于这种情形,可能需要变更风险范畴参数(如风险评估、风险接受或影响的准则)以再次进行风险评估循环,并可能需要进一步的风险处置。风险接受活动需要确保残余风险被组织的管理者明确接受。对于控制措施被取消或推迟实施(如成本问题)的情形,管理层的明确接受就更为重要。在整个信息安全风险管理过程中,向相应的管理者和员工传达风险及风险的处置是很重要的。甚至在风险处置前,有关已识别的风险信息对于管理事件可能是很有价值的,并可以帮助降低潜在损失。管理者和员工的风险意识、降低风险的现有控制措施的特性及组织所关心的区域,将为处理事件和非预期事态提供有效的帮助。信息安全风险管理过程的每一活动及两个风险决策点的详细结果应该形成文件。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
