内容摘要:本文将介绍Information Security Management CBK中的风险评估(Risk Analysis and Assessment)。
在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习信息安全管理(1)》里,J0ker给大家介绍了信息安全管理要实现的A-I-C目标和原则。在接下去的文章,J0ker将带大家逐步深入信息安全管理的领域,并结合实际例子给大家解释该CISSP CBK中提到的诸多关键名词。本文将介绍Information Security Management CBK中的风险评估(Risk Analysis and Assessment)。
我们经常可以从媒体或者各种安全资讯上看到一个词——风险(Risk),但具体到它的含义,以及它在信息技术领域所代表的意思,却没有太多的人可以说的清楚。所谓“风险中存在机遇“,人们在选择机会的同时,也会遇到许多会造成损失的不确定因素,这些不确定的因素便称之为”风险“。例如,买车能带来出行方便,但同时也会因为燃料费上涨、路费、维修等等不确定的因素导致意外的支出,而且尽管几率很小,也依然存在发生交通事故危害生命的情况。
因此,我们在选择一个机会之前,常常会或多或少的考虑机会之中包含着的不确定因素有哪些,更进一步的,我们还会想办法去了解机会之中的不确定因素到底有多大的可能发生,并准备一些可以降低发生几率或损失的措施。同时为了更有效的准备和评估应对不确定因素的防御措施,我们还必须认真的了解不确定因素的各个组成元素,并搞清楚它们之间的关系,这个不确定因素的识别、分析和评估的过程,便是本文要介绍的风险分析和评估(Risk Analysis and Assessment)。
进行过风险分析和评估之后,接下去自然就是如何应对风险——在CISSP CBK中,风险的应对方式可以分成三种,J0ker还是用上面买车的例子来介绍:假设买了车之后,在路上发生追尾事故的可能性为每三个月一次,如果车主采取了在交通繁忙时刻降低车速,选择另外车流量较小的道路或者在车上添置防追尾的设备,这都属于车主接受了风险存在的事实,并采取的降低风险发生可能性或损失的措施,我们称之为Accept the Risk或Mitigate the Risk;如果车主认为部署防追尾的设备成本比追尾后修一次车还贵的多,或者因为其他原因而无视追尾危险,这样称之为Reject the Risk,或Ignore the Risk,风险并没有减轻,只是被忽略了。还有一种较为常见的情况是车主通过购买保险,将追尾可能产生的各种费用转移到保险公司身上,这称之为Transfer the Risk,即风险转移。Accept和Transfer是对待风险的常用方式,但在某些不太重要的场合,也可以选择用不作为的方式。
责编:豆豆技术应用
- CISSP的成长之路(十九):详述安全威胁控制手段
- CISSP的成长之路(十六):复习访问控制(1)
- CISSP的成长之路(十五):系统架构和设计之安全标准
- CISSP的成长之路(十四):系统架构和设计之保护机制
- CISSP的成长之路(十三):安全架构和设计之安全模型
- CISSP的成长之路(十二):安全架构和设计(1)
- CISSP的成长之路(十一):安全意识教育介绍
- CISSP的成长之路(十):复习信息安全管理(4)
- CISSP的成长之路(九):复习信息安全管理(3)
- CISSP的成长之路(八):复习信息安全管理(2)
- CISSP的成长之路(十九):详述安全威胁控制手段
- CISSP的成长之路(十六):复习访问控制(1)
- CISSP的成长之路(十五):系统架构和设计之安全标准
- CISSP的成长之路(十四):系统架构和设计之保护机制
- CISSP的成长之路(十三):安全架构和设计之安全模型
- CISSP的成长之路(十二):安全架构和设计(1)
- CISSP的成长之路(十一):安全意识教育介绍
- CISSP的成长之路(十):复习信息安全管理(4)
- CISSP的成长之路(九):复习信息安全管理(3)
- CISSP的成长之路(八):复习信息安全管理(2)