信息安全是基于风险的管理

信息安全是基于风险的管理本站　　如果单说风险管理的话，这个范围包含的内容太广了，不是简简单单一篇文章可以介绍完的

　　如果单说风险管理的话，这个范围包含的内容太广了，不是简简单单一篇文章可以介绍完的。本篇暂时先不对风险管理进行过多展开，只是稍作介绍引出信息安全风险评估，因为风险评估在信息安全领域，占有非常重要的位置。

　　如何理解“管理”在《关于管理的定义与解释》中已经很详细的阐述过了，风险管理当然不例外也是属于管理范畴，只是加了定语后管理的对象与范围限定在风险管理领域了。

　　那么如何理解风险呢？通俗的讲，风险是在某一个特定时间段里，人们所期望达到的目标与实际出现的结果之间产生的距离称之为风险。在通俗点的话，风险就是不确定性，通常不确定性给人带来不安与担心。

　　风险的不确定性有两种，一种定义强调了风险表现为不确定性，简单点说就是风险带来的可能是损失，也可能是收益，但结果是不确定的；另一种定义则强调风险表现为损失的不确定性，简单点说就是风险只会带来损失，但风险程度、损失大小是不确定的。

　　基于上面的理解，“风险”比较讨厌，所以需要管理。怎么管理呢？通过管理程序或活动来控制风险，减少对希望达到目标所带来的影响。

　　基于《关于管理的定义与解释》、《》两篇文章和上述的内容，信息安全风险管理已经非常容易理解了。但为了后续介绍信息安全风险评估方，还是需要把信息安全风险管理的一些概念引出来

　　威胁（Threat）：可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源或威胁代理。

　　弱点（Vulnerability）：也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。

　　安全措施（Safeguard）：控制措施或对策，即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。

　　第二，所谓的信息安全管理，就是基于所面临安全风险，不断地进行自我改进与提高的过程，所以我们也常说信息安全是基于风险的管理。