请选择 进入手机版 | 继续访问电脑版

IT运维管理,ITIL,ITSS,ITSM,ISO20000-ITIL先锋论坛

 找回密码
 点击获取邀请码 - 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

艾拓先锋
搜索
查看: 61|回复: 0

[ISO27001管理体系实践] 信息安全风险的概念是什么

[复制链接]
来自- 巴西

参加活动:0

组织活动:0

发表于 2018-7-27 16:50:17 | 显示全部楼层 |阅读模式 来自- 巴西

  风险源自于对现实社会的不确定性以及人类知识的有限性,关于风险的定义,学术界根据不同的方面给出的解释和定义也均不同,归纳下来的定义共有以下几点:
  (1) 风险是事件发生的不确定性也是损失发生的不确定性:风险具备不确定性,具有客观存在性,,有些风险必然会发生,但是发生的时间不具有确定性。

  (2 )风险是损失发生的可能性:损失发生的可能性是最早被美国学者提出的对风险的定义。可能发生的损失也被定义为风险。

  (3) 风险是事情实际发生的结果和预期发生的差异性:事情发生的实际结果与预期结果的差异越小,则风险越小;反之,差异越大,则风险越大。风险是事情最后结果的潜在变化。

  (4) 风险是导致损失发生的变化。

  综上,风险具备不确定性、客观性、潜在性、时间性、可度量性以及转移性。风险构成的要素分为:物理风险因素、道德风险因素和心理风险因素。然而根据风险的定类不同,风险的分类也不同。归纳常见的分类方法如下:

  (1) 依照产生风险后果的不同,可以将风险分为纯悴风险和投机风险。其中纯粹风险指的是只有损失机会而并没有获得利益可能的风险。这种风险造成的结果有造成损失 和没有造成损失两种状
况。投机险指的是有获得利益的可能lli有造成损失的不确定性,这种风险造成的结果有获利、有损失以及没有损失三种情况。

  (2) 依照损失发生的原因或是风险来源的不同,可以将风险分为自然风险和人为风险。自然风险指的是由于自然力的不规则变化而引起的对生命安全、物质生产以及经济 活动有危害的风险。这种I成险如常见的地震、洪灾以及瘟疫等自然现象。人为风险指的是由人为的原因导致的风险常见的人为风险有行为风险、技术风险以及经济 风险等。

  (3) 依据风险影响范围可将风险分为整体和局部风险。顾名思义,整体风险影响的范围比局部风险影响的小。且两者是相对的,可以相互转化的整体风险可以通过一定的防护措施而转换为局部风险,而局部风险也有可能转换为整体风险。

  (4) 依据风险的管理与否可将风险划分为可管理的风险和不可管理的风险。其中,可管理的风险则是可以预测的同时也能做出相应措施来加以控制的风险。反之则称为不可管理的风险。

  (5) 依据风险是否可以预测的划分,可将风险分为己知的、可预测的以及不可预测的风险。其中,已知风险指的是借鉴以往经验,对于事件即将发生的后果可以事先预见 到。可预测的风险指的是根据依靠经验和技术,对风险的发生可以预测,但是对其后果并不可预见。不可预测的风险指的是有经验的技术人员也不能预见到风险发生 的可能。

本版积分规则

QQ|小黑屋|手机版|Archiver|ITIL先锋论坛五万运维人社区 ( 粤ICP备17056641号|网站地图

Baidu

GMT+8, 2018-8-18 16:10 , Processed in 0.145417 second(s), 34 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表