信息安全風(fēng)險管理是識別、評價各種信息安全風(fēng)險因素帶來的損失風(fēng)險,對風(fēng)險進(jìn)行控制,減輕風(fēng)險可能帶來的負(fù)面影響,將損失降到最低。它是一個長期的、循環(huán)的和再管理過程。
ISO27001(2005)定義信息安全風(fēng)險管理為“指導(dǎo)和控制組織風(fēng)險的協(xié)同活動,包括風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險承受和風(fēng)險溝通”。
NIST SP800-30 中定義信息安全風(fēng)險管理是“對信息系統(tǒng)的風(fēng)險識別、風(fēng)險評估,并采取一定的措施使風(fēng)險減少至可承受程度”;。
Microsoft 安全風(fēng)險管理指南定義是“確定可接受的風(fēng)險、評估風(fēng)險的當(dāng)前程度、采取措施將風(fēng)險降低到可接受水平以及維持風(fēng)險程度的流程”。
Thomas Finne 定義為:“識別、評估和控制不確定性事件,并減少損失和提高安全投資收益。包括風(fēng)險分析和風(fēng)險評估”。
Mariana Gerber 定義為:“基于風(fēng)險分析結(jié)果的風(fēng)險計劃、風(fēng)險監(jiān)控和風(fēng)險控制”。
范紅在《信息安全風(fēng)險評估方法與應(yīng)用》中,定義風(fēng)險管理為;“以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)安全風(fēng)險的過程。通過風(fēng)險評估來識別風(fēng)險的大小,通過制定信息安全方針,采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險進(jìn)行控制,使風(fēng)險被避免、轉(zhuǎn)移或降至一個可被接受的水平”。該定義充分考慮費用與風(fēng)險之間的平衡,全面反映了風(fēng)險管理的全過程。
共有條評論 網(wǎng)友評論