复习-Information Security Management(2)

                                                                  作者：安言咨询   J0ker

本文将介绍Information Security and Risk Management  CBK中的风险评估（Risk Analysis and Assessment）。

风险的定义：

   我们经常可以从媒体或者各种安全资讯上看到一个词——风险（Risk），但具体到它的含义，以及它在信息技术领域所代表的意思，却没有太多的人可以说的清楚。所谓“风险中存在机遇“，人们在选择机会的同时，也会遇到许多会造成损失的不确定因素，这些不确定的因素便称之为”风险“。例如，买车能带来出行方便，但同时也会因为燃料费上涨、路费、维修等等不确定的因素导致意外的支出，而且尽管几率很小，也依然存在发生交通事故危害生命的情况。

何为风险分析：

   因此，我们在选择一个机会之前，常常会或多或少的考虑机会之中包含着的不确定因素有哪些，更进一步的，我们还会想办法去了解机会之中的不确定因素到底有多大的可能发生，并准备一些可以降低发生几率或损失的措施。同时为了更有效的准备和评估应对不确定因素的防御措施，我们还必须认真的了解不确定因素的各个组成元素，并搞清楚它们之间的关系，这个不确定因素的识别、分析和评估的过程，便是本文要介绍的风险分析和评估（Risk Analysis and Assessment）。

风险的应对方式：

   进行过风险分析和评估之后，接下去自然就是如何应对风险——在CISSP CBK中，风险的应对方式可以分成三种，J0ker还是用上面买车的例子来介绍：假设买了车之后，在路上发生追尾事故的可能性为每三个月一次，如果车主采取了在交通繁忙时刻降低车速，选择另外车流量较小的道路或者在车上添置防追尾的设备，这都属于车主接受了风险存在的事实，并采取的降低风险发生可能性或损失的措施，我们称之为Accept the Risk或Mitigate the Risk；如果车主认为部署防追尾的设备成本比追尾后修一次车还贵的多，或者因为其他原因而无视追尾危险，这样称之为Reject the Risk，或Ignore the Risk，风险并没有减轻，只是被忽略了。还有一种较为常见的情况是车主通过购买保险，将追尾可能产生的各种费用转移到保险公司身上，这称之为Transfer the Risk，即风险转移。Accept和Transfer是对待风险的常用方式，但在某些不太重要的场合，也可以选择用不作为的方式。

风险管理的概念：

   这样，风险的识别、分析和评估、消除、转移整个流程我们称之为风险管理（Risk Management），在进行风险管理的流程时，以下的关键的问题需要弄清楚：

What could happen （Threat event，风险的具体形式，威胁）

If it happened, how bad could it be （Threat impact，威胁的影响程度）

How often it could happen （Threat frequency， 威胁发生的频率）

How certain are the answers to the first three questions （Recognition of uncertainty， 威胁发生的几率和不确定性）

这些问题都可以从风险分析和评估中获得答案，威胁发生的不确定性是风险管理中的核心问题，当然，谁都希望为所有可能发生的情况做好充分的准备，但现实常常不允许我们这样考虑，我们只能够保证优先度最高的部位和风险最有可能发生的部位能部署到风险管理方案。通过风险分析和评估，我们可以从上述