ISO27001信息安全風(fēng)險(xiǎn)管理的含義

2019/3/8 15:21:59 次

　　信息安全風(fēng)險(xiǎn)管理是識別、評價(jià)各種信息安全風(fēng)險(xiǎn)因素帶來的損失風(fēng)險(xiǎn)，對風(fēng)險(xiǎn)進(jìn)行控制，減輕風(fēng)險(xiǎn)可能帶來的負(fù)面影響，將損失降到最低。它是一個(gè)長期的、循環(huán)的和再管理過程。

　　ISO27001(2005)定義信息安全風(fēng)險(xiǎn)管理為“指導(dǎo)和控制組織風(fēng)險(xiǎn)的協(xié)同活動，包括風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)對、風(fēng)險(xiǎn)承受和風(fēng)險(xiǎn)溝通”。

　　NIST SP800-30 中定義信息安全風(fēng)險(xiǎn)管理是“對信息系統(tǒng)的風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估，并采取一定的措施使風(fēng)險(xiǎn)減少至可承受程度”;。

　　Microsoft 安全風(fēng)險(xiǎn)管理指南定義是“確定可接受的風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)的當(dāng)前程度、采取措施將風(fēng)險(xiǎn)降低到可接受水平以及維持風(fēng)險(xiǎn)程度的流程”。

　　Thomas Finne 定義為：“識別、評估和控制不確定性事件，并減少損失和提高安全投資收益。包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評估”。

　　Mariana Gerber 定義為：“基于風(fēng)險(xiǎn)分析結(jié)果的風(fēng)險(xiǎn)計(jì)劃、風(fēng)險(xiǎn)監(jiān)控和風(fēng)險(xiǎn)控制”。

　　范紅在《信息安全風(fēng)險(xiǎn)評估方法與應(yīng)用》中，定義風(fēng)險(xiǎn)管理為;“以可接受的費(fèi)用識別、控制、降低或消除可能影響信息系統(tǒng)安全風(fēng)險(xiǎn)的過程。通過風(fēng)險(xiǎn)評估來識別風(fēng)險(xiǎn)的大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平”。該定義充分考慮費(fèi)用與風(fēng)險(xiǎn)之間的平衡，全面反映了風(fēng)險(xiǎn)管理的全過程。