CISSP的成长之路（八）：复习信息安全管理(2)

　　风险的识别、分析和评估、消除、转移整个流程我们称之为风险管理（Risk Management），在进行风险管理的流程时，以下的关键的问题需要弄清楚：

　　1、 What could happen （Threat event，风险的具体形式，威胁）

　　2、 If it happened, how bad could it be （Threat impact，威胁的影响程度）

　　3、 How often it could happen （Threat frequency， 威胁发生的频率）

　　4、 How certain are the answers to the first three questions （Recognition of uncertainty， 威胁发生的几率和不确定性）

　　这些问题都可以从风险分析和评估中获得答案，威胁发生的不确定性是风险管理中的核心问题，当然，谁都希望为所有可能发生的情况做好充分的准备，但现实常常不允许我们这样考虑，我们只能够保证优先度最高的部位和风险最有可能发生的部位能部署到风险管理方案。通过风险分析和评估，我们可以从上述4个问题中发现一些无法忽视的风险(Unacceptable Risks)，我们需要部署相应的方案来应对它们，以下的问题需要了解清楚：

　　1、 What can be done（Risk Mitigation，风险消除方案）

　　2、 How much will it cost （annualized，方案每年平均成本）

　　3、 Is it cost effective （Cost/Benefit Analysis，费效比分析）

　　上述问题的解答将最终决定一个实体对风险对象的最终解决方案，并执行管理层批准、财务提供预算、采购、部署、维护等流程进行实施。对于IT领域，风险管理则更进一步的细化为Information Risk Management（IRM），因为IT技术不断的发展，IRM也是一个没有结束期，需要持续关注的行为。

　　在进行下面的内容之前，J0ker打算先向大家列出几个关键的名词：