1.常見風險管理概念

風險，在GB/T 22081中定義為事態的概率及其結果的組合。風險的目標可能有很多不同的方面，如財務目標、健康和人身安全目標、信息安全目標和環境目標等；目標也可能有不同的級別，如戰略目標、組織目標、項目目標、產品目標和過程目標等。風險經常通過引用潛在事態和后果或這些的組合來描述。影響，是對一個預期的偏離，正面的或負面的偏離。 風險帶來的影響，通常都是負面的（正面的影響通常不被稱為風險）。風險是客觀存在的。 風險和不確定性緊密相連，但又不能完全等同。風險強調的是損害的潛在可能性，而不是事實上的損害。風險不能消除殆盡，包括人為因素帶來的風險，也一樣不能消除殆盡。衡量風險的兩個基本要素就是事件的概率和影響。

威脅利用脆弱性作用于資產產生影響，威脅增加了組織資產的風險，脆弱點能夠暴露資產，脆弱性本身不會構成對資產的損害，但是脆弱性被威脅利用同樣會增加組織資產的風險；影響有來自正面的和負面的，正面的影響可以為組織帶來促進；而負面的影響會增加組織風險。因此，組織應該根據風險建立相應的保護要求，通過構架防護措施降低風險對組織產生的影響。

在GB/T22080中，風險管理被定義為指導和控制一個組織相關風險的協調活動。風險管理由三個部分組成：風險評估、風險減緩以及基于風險的決策。風險評估過程將全面評估信息系統的資產、威脅、脆弱性以及現有的安全措施，分析安全事件發生的可能性以及可能的損失，從而確定信息系統的風險，并判斷風險的優先級，建議處理風險的措施。基于風險評估的結果，風險處理過程將考察信息安全措施的成本，選擇合適的方法處理風險，將風險控制到可接受的程度。基于風險的決策是風險管理的最后過程，旨在由信息系統的主管者或運營者判斷殘余風險是否處在可接受的水平之內。基于這一判斷，主管者或運營者將做出決策，決定是否允許信息系統運行。