信息安全风险管理相关词汇定义与解析

　　本文给出了风险管理相关术语的定义及其详细的解析，其中包括：风险管理、风险评估、风险应对、风险识别、风险分析和风险评价等。

　　1 风险管理概念解析

　　风险管理是组织管理活动的一部分，其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73：2009《风险管理 术语》中曾经指出，风险管理由一系列的活动组成，这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程，其准确的定义为：风险管理(risk management)是指在风险方面，指导和控制组织的协调活动。

　　与风险管理定义密切相关的，还有“风险管理框架”和“风险管理过程”两个词汇。

　　风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中给了三个有用的注解，分别为：风险管理框架是要素集合，这个框架并不是单独存在的，这就体现了风险的特点之一，就是一系列的“点”，这些点是要被嵌入(be embedded)。特别值得指出的是，校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域，也是整个管理学领域的常见词汇。其中，在战略层面一般强调校准，即无论是信息安全的战略还是信息系统的战略，都应该与组织的整体战略保持一致。在更细的策略或流程层次，则强调整合或嵌入。例如，已经有人力资源的管理规程，需要嵌入安全管理的部分，或者已经有事件管理规程，将其与信息安全事件管理进行整合。总之，校准、整合和嵌入是值得深入研究的三种方法。

　　风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。

　　风险管理过程才体现了信息安全应该如何做(how)的问题。

　　严格讲，风险管理不仅仅是过程，是一系列的活动。因此，在下文的图3中，我们特别指出： 风险管理的阶段划分仅作示意。

　　2 风险评估及其过程

　　在GB/T 23694—2013 / ISO Guide 73：2009中，风险评估并不是作为一个单独的过程定义的。其中定义为：风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。

　　风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中虽然也是类似的定义，但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说，在当时的定义中，“风险识别”是作为“风险分析”的一个阶段而出现的，详细定义为：风险评估包括风险分析和风险评价在内的全过程。

　　为了更好地理解其中的变化，我们在表1中给出了风险评估包括的阶段的术语定义。

　　无论如何划分，风险评估都要完成下面这些活动：

　　在上述三个步骤中，步骤一与步骤二较为通用，或者说，截至到风险分析阶段，我们需要确定风险的等级，这都可以按照通用的标准或方法提前定义好。步骤三则不同，这个步骤需要结合组织自己定义的风险准则。

　　3 区分风险评估与风险管理

　　我们可以简单地认为，风险评估是风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程，那么风险评估就是其中的“对症”过程，只是找到问题所在，并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。

　　风险管理是一个持续循环，不断上升的过程，它被定义为一个持续的周期，每隔一个阶段就开始新的循环，这些循环要贯穿组织的始终，是组织管理的一部分。风险评估则更像“搞运动”，其一般按照一定的时间间隔进行，但是如果发生组织业务变化、出理新的漏洞或基础机构变化等，都可能启动新的风险评估过程。

　　风险管理的循环过程不是在原地踏步的，它的每一次新循环都应该上一个新的台阶，呈螺旋上升的形状。如图3所示。

　　这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估，在每一次风险评估中都会发现潜在的问题，并在接下来的风险应对过程中加以解决，从而使组织管理风险的能力得到提升。

　　4 风险应对概念解析

　　无论风险评估步骤进行得多么完美，都只是找到了问题，而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。

　　风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73：2009中，对这个定义也有详细的注解，包括：

　　“风险应对”定义的注1较为详细，其中给出了可能的应对措施，其中1)规避风险，6)分担或转移风险以及)接受风险，与ISO/IEC 27001：2005的描述基本类似，)为寻求机会而承担或增加风险更偏重组织业务角度视角，3)、4)与5)则是降低风险的基本途径，这三项的任何之一都可以改变目前的风险状况。

　　作者：谢宗晓 来源：中国标准导报 2016年4期