4.1 信息安全风险管理概述

4.1.1 信息安全风险管理的概念

风险管理是指导和控制一个组织相关风险的协调活动，是组织管理活动的一部分，其管理的主要对象就是风险。

信息安全风险管理是基于风险的信息安全管理，即始终以风险为主线进行信息安全的管理。

信息安全风险管理涉及信息安全的3大类保护对象（信息、信息载体、信息环境）中包含的所有相关对象，但对于一个具体的信息系统，信息安全风险管理的实施主要涉及该系统的关键和敏感部分。

4.1.2 相关要素及概念

信息安全风险管理过程中涉及诸多要素及概念，除了在2.1.2.3已介绍的，这里还涉及如下几个。

4.1.2.1 资产价值

资产价值（Asset Value）：资产的重要程度或敏感程度。

资产价值是资产的属性。在对资产进行估价时，不仅要考虑其自身的价值，还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的安全保护措施。

4.1.2.2 业务战略

业务战略（Business Strategy）：组织为实现其发展目标而制定的规则。

4.1.2.3 安全事件

安全事件（Security Event）：威胁利用脆弱性产生的危害情况。

风险是安全事件产生的前提，安全事件是在一定条件下由风险演变而来。

4.1.2.4 安全需求

安全需求（Security Requirement）：为保证组织业务战略的正常运作而在安全措施方面提出的要求。

分析和定义安全需求，并以保密性、完整性及可用性等明确表达出来，有助于指导安全控制机制的选择和风险管理的实施。

4.1.2.5 安全措施

安全措施（Security Measure）：保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。

4.1.3 信息安全风险管理各要素间的关系

信息安全风险管理中涉及的安全要素之间的关系如图4-1所示。

图4-1中的风险要素及属性之间存在着以下关系：

（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小。

（2）资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大。

（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件。

（4）资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大。

（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产。

（6）风险的存在及对风险的认识导出安全需求。

（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本。

（8）安全措施可抵御威胁，降低风险。

（9）残余风险有些是安全措施不当或无效，需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险。

（10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。