信息安全风险管理是识别、评价各种信息安全风险因素带来的损失风险,对风险进行控制,减轻风险可能带来的负面影响,将损失降到最低。它是一个长期的、循环的和再管理过程。
ISO27001(2005)定义信息安全风险管理为“指导和控制组织风险的协同活动,包括风险评估、风险应对、风险承受和风险沟通”。
NIST SP800-30 中定义信息安全风险管理是“对信息系统的风险识别、风险评估,并采取一定的措施使风险减少至可承受程度”;。
Microsoft 安全风险管理指南定义是“确定可接受的风险、评估风险的当前程度、采取措施将风险降低到可接受水平以及维持风险程度的流程”。
Thomas Finne 定义为:“识别、评估和控制不确定性事件,并减少损失和提高安全投资收益。包括风险分析和风险评估”。
Mariana Gerber 定义为:“基于风险分析结果的风险计划、风险监控和风险控制”。
范红在《信息安全风险评估方法与应用》中,定义风险管理为;“以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平”。该定义充分考虑费用与风险之间的平衡,全面反映了风险管理的全过程。
共有条评论 网友评论