Powertime共享课堂 | 认识网络安全风险与风险管理

文章发布日期：2020-08-13

现代风险管理的历史

现代风险管理源于美国，1930年代，受当时经济危机影响，美国40％的银行和企业破产，促使他们设立风险管理部门，应对危机，也是从这个时候开始，现代意义上的风险管理工作才正式的开始；1950年代风险管理发展成为一门学科，风险管理一词才形成；1970年代以后逐渐掀起了全球性的风险管理运动，法国、日本相继学习美国开始了风险管理研究；1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101条风险管理准则”，它标志着风险管理的发展已进入了一个新的发展阶段；1986年，由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围；1998年，ISO/TMBG成立风险管理术语工作组，制定ISO Guide 73。

中国对于风险管理的研究开始于1980年代，之前中国大部分组织缺乏对现代风险管理的认识，也没有建立专门的风险管理机构，2007年11月，全国风险管理标准化技术委员会成立；2011年，ISO设立TC262 Risk Management。

什么是“风险”

在标准里面的“风险”描述如下：

GB/T23694-2013/ISO Guide 73：2009 风险管理术语

“风险管理”的定义：

在风险方面，指导和控制组织的协调活动。

风险评估和风险处置（应对，处理）：

风险评估包括风险识别、风险分析和风险评价的全过程。

风险应对为处理风险的过程。可包括：不开始或不再继续导致风险的行动，以规避风险；为寻求机会而承担或增加风险；消除风险源；改变可能性；改变后果；与其他各方分担风险（包括合同和风险融资）；慎重考虑后决定保留风险。针对负面后果的风险应对有时指“风险缓解”“风险消除”“风险预防”“风险降低”等。风险应对可能产生新的风险或者改变现有风险。

风险管理全局图

学习风险管理的参考资料

网络安全风险管理基础

学习网络安全风险管理，可以优先参考ISO/IEC 13335，虽然这个标准目前是废止状态，已被其他标准所取代，但它仍是其他标准拟定的重要参考，它仍可提供网络安全风险评估和管理的大部分学习知识，具有极大地学习价值。

分解：“网络安全风险”要素

资产asset：

是与组织IT系统相关的、有价值的元素。
妥善管理资产是组织成功不可或缺的因素，也是所有管理层的重要职责。
资产包括：基础设施、应用系统、信息和数据、人员、物理环境等。
应建立资产清单并对资产价值予以描述，这是一个组织网络风险管理工作的第一步。

威胁threat ：

可能导致对系统或组织危害的不希望的事故的潜在原因。
一个资产可能面临多种威胁，一个威胁可能影响多个资产。
威胁具有一些特征：来源、动机、频次、严重程度。

脆弱性 vulnerability ：

可被一个或多个威胁利用的一个资产的或一组资产的弱点。
存在于资产自身、周围环境、管理等方面。
本身不会引起损害，只是一种条件或一组条件。
也称为“漏洞”

脆弱性举例：系统漏洞、电子文件易被复制、删除和交换、安全专业人员缺乏、系统默认配置、数据中心火灾、易燃设施和材料等。

影响 impact ：

一个网络安全事故的后果。
不期望事件的后果。

直接后果可能是某些资产的毁坏、IT系统的损坏和保密性、完整性、可用性等的丧失；间接后果可能包括财务损失、以及市场份额或组织声誉的损失。影响的度量可以参考防止不希望的事故的成本，可以有多种方法来定性和定量度量，比如：制订财务费用。规定严重程度经验等级，例如，1到10，或者高、中、低。影响判断或度量是风险评估和选用防护措施的一个重要的环节。

防护措施safeguards：

降低风险的习惯做法、程序或机制。
可以防止威胁，减少脆弱性，降低不希望事故造成的影响。

上一条新闻：Powertime共享课堂 | 学习网络安全风险管理方法与风险评估

下一条新闻：Powertime共享课堂 | 如何确定组织的网络安全目标与保护对象？

Powertime共享课堂 | 认识网络安全风险与风险管理

等级保护

IT审计服务

安全服务

资讯中心

关于我们