我们将风险管理定义为:将整个企业内的风险降低到可接受水平的整体流程;将风险评估定义为:确定企业面临的风险并确定其优先级的流程。
二者关系:整体风险管理流程由四个主要阶段组成:评估风险、执行决策支持、实施控制和评定计划有效性;而风险评估只是指在更大的风险管理周期中的评估风险阶段。
传统上,安全风险管理的方法有两种:反应性方法和前瞻性方法,各有优点与缺点。确定某一风险的优先级也有两种不同的方法:定性安全风险评估和定量安全风险评估。
风险管理的方法
很多组织都通过响应一个相对较小的安全事件引入安全风险管理。 但无论最初的事件是什么,随着越来越多与安全有关的问题出现,并开始影响业务,很多组织对响应一个接一个的危机感到灰心丧气。他们需要一种替代方法,一种能减少首次安全事件的方法。有效管理风险的组织发展了更为前瞻性的方法,但此方法也只是解决方案的一部分。
◆ 反应性方法
当一个安全事件发生时,很多IT专业人员感到惟一可行的就是遏制情形,指出发生了什么事情,并尽可能快地修复受影响的系统。反应性方法是一种对已经被利用并转换为安全事件的安全风险的有效技术响应,使反应性方法具有一定程度的严密性,可帮助所有类型的组织更好地利用他们的资源。
◆ 前瞻性方法
与反应性方法相比,前瞻性安全风险管理有很多优点。 与等待坏事情发生然后再做出响应不同,前瞻性方法首先最大程度地降低坏事情发生的可能性。
当然,组织不应完全放弃事件响应。 一个有效的前瞻性方法可帮助组织显著减少将来发生安全事件的数量。但是似乎此类问题并不会完全消失,因此,组织应继续改善他们的事件响应流程,同时制定长期的前瞻性方法。
确定风险优先级的方法
确定风险优先级或评估风险有多种方法,但是大多数都基于两种方法或这两种方法的组合:定量风险评估和定性风险评估。
◆ 定量风险评估
在定量风险评估中,目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。例如:用替换成本、生产率损失成本、品牌名誉成本以及其它直接和间接商业价值来估计各个企业资产的真实价值。计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其它值时,尽量具有相同的客观性。
◆ 定性风险评估
定性风险评估与定量风险评估的区别在于在前一方法中不用向资产分配难以确定的财务价值、预期损失和控制成本,取而代之的是计算相对值。通常通过调查表和合作研讨会的组合形式进行风险分析,涉及来自组织内各个部门的人员,例如:信息安全专家、信息技术经理和员工、企业资产所有者和用户以及高级经理。(T228)
|
