信息安全風(fēng)險管理相關(guān)詞匯定義與解析論文
1 風(fēng)險管理概念解析
風(fēng)險管理是組織管理活動的一部分,其管理的主要對象就是風(fēng)險。在GB/T 23694—2013 / ISO Guide 73:2009《風(fēng)險管理 術(shù)語》中曾經(jīng)指出,風(fēng)險管理由一系列的活動組成,這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程,其準確的定義為:風(fēng)險管理(risk management)是指在風(fēng)險方面,指導(dǎo)和控制組織的協(xié)調(diào)活動。
與風(fēng)險管理定義密切相關(guān)的,還有“風(fēng)險管理框架”和“風(fēng)險管理過程”兩個詞匯。
風(fēng)險管理框架(risk management framework)是指為設(shè)計、執(zhí)行、監(jiān)督、評審和持續(xù)改進整個組織的風(fēng)險管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中給了三個有用的注解,分別為:風(fēng)險管理框架是要素集合,這個框架并不是單獨存在的,這就體現(xiàn)了風(fēng)險的特點之一,就是一系列的“點”,這些點是要被嵌入(be embedded)。特別值得指出的是,校準(align))、整合(integrate)和嵌入(embed)是信息管理安全領(lǐng)域,也是整個管理學(xué)領(lǐng)域的常見詞匯。其中,在戰(zhàn)略層面一般強調(diào)校準,即無論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略,都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細的策略或流程層次,則強調(diào)整合或嵌入。例如,已經(jīng)有人力資源的管理規(guī)程,需要嵌入安全管理的部分,或者已經(jīng)有事件管理規(guī)程,將其與信息安全事件管理進行整合?傊,校準、整合和嵌入是值得深入研究的三種方法。
風(fēng)險管理過程強調(diào)的`是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。
風(fēng)險管理過程才體現(xiàn)了信息安全應(yīng)該如何做(how)的問題。
嚴格講,風(fēng)險管理不僅僅是過程,是一系列的活動。因此,在下文的圖3中,我們特別指出: 風(fēng)險管理的階段劃分僅作示意。
2 風(fēng)險評估及其過程
在GB/T 23694—2013 / ISO Guide 73:2009中,風(fēng)險評估并不是作為一個單獨的過程定義的。其中定義為:風(fēng)險評估(risk assessment)包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的全過程。
風(fēng)險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中雖然也是類似的定義,但是當時并沒有單獨把“風(fēng)險識別”作為一個單獨的階段;蛘哒f,在當時的定義中,“風(fēng)險識別”是作為“風(fēng)險分析”的一個階段而出現(xiàn)的,詳細定義為:風(fēng)險評估包括風(fēng)險分析和風(fēng)險評價在內(nèi)的全過程。
為了更好地理解其中的變化,我們在表1中給出了風(fēng)險評估包括的階段的術(shù)語定義。
無論如何劃分,風(fēng)險評估都要完成下面這些活動:
在上述三個步驟中,步驟一與步驟二較為通用,或者說,截至到風(fēng)險分析階段,我們需要確定風(fēng)險的等級,這都可以按照通用的標準或方法提前定義好。步驟三則不同,這個步驟需要結(jié)合組織自己定義的風(fēng)險準則。
3 區(qū)分風(fēng)險評估與風(fēng)險管理
我們可以簡單地認為,風(fēng)險評估是風(fēng)險管理的一個階段,只是在更大的風(fēng)險管理流程中的一個評估風(fēng)險的階段。如果把風(fēng)險管理理解成一個“對癥下藥”的過程,那么風(fēng)險評估就是其中的“對癥”過程,只是找到問題所在,并沒有義務(wù)解決。而風(fēng)險管理是在整個組織內(nèi)把風(fēng)險降低到可接受水平的整個過程。主要階段包括風(fēng)險評估和風(fēng)險應(yīng)對(risk treatment) )。
風(fēng)險管理是一個持續(xù)循環(huán),不斷上升的過程,它被定義為一個持續(xù)的周期,每隔一個階段就開始新的循環(huán),這些循環(huán)要貫穿組織的始終,是組織管理的一部分。風(fēng)險評估則更像“搞運動”,其一般按照一定的時間間隔進行,但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機構(gòu)變化等,都可能啟動新的風(fēng)險評估過程。
風(fēng)險管理的循環(huán)過程不是在原地踏步的,它的每一次新循環(huán)都應(yīng)該上一個新的臺階,呈螺旋上升的形狀。如圖3所示。
這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風(fēng)險評估,在每一次風(fēng)險評估中都會發(fā)現(xiàn)潛在的問題,并在接下來的風(fēng)險應(yīng)對過程中加以解決,從而使組織管理風(fēng)險的能力得到提升。
4 風(fēng)險應(yīng)對概念解析
無論風(fēng)險評估步驟進行得多么完美,都只是找到了問題,而解決問題應(yīng)該是組織的最終目的。風(fēng)險應(yīng)對的步驟就是評估、選擇并且執(zhí)行這些改進措施的過程。
風(fēng)險應(yīng)對(risk treatment)是指處理8)風(fēng)險的過程。在GB/T 23694—2013 / ISO Guide 73:2009中,對這個定義也有詳細的注解,包括:
“風(fēng)險應(yīng)對”定義的注1較為詳細,其中給出了可能的應(yīng)對措施,其中1)規(guī)避風(fēng)險,6)分擔(dān)或轉(zhuǎn)移風(fēng)險以及)接受風(fēng)險,與ISO/IEC 27001:2005的描述基本類似,)為尋求機會而承擔(dān)或增加風(fēng)險更偏重組織業(yè)務(wù)角度視角,3)、4)與5)則是降低風(fēng)險的基本途徑,這三項的任何之一都可以改變目前的風(fēng)險狀況。
【信息安全風(fēng)險管理相關(guān)詞匯定義與解析論文】相關(guān)文章:
2.信息系統(tǒng)項目安全風(fēng)險管理探析論文