信息安全風(fēng)險管理相關(guān)詞匯定義與解析

謝宗曉（南開大學(xué)商學(xué)院）

?

信息安全風(fēng)險管理相關(guān)詞匯定義與解析

謝宗曉（南開大學(xué)商學(xué)院）

摘要：本文給出了風(fēng)險管理相關(guān)術(shù)語的定義及其詳細的解析，其中包括：風(fēng)險管理、風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險識別、風(fēng)險分析和風(fēng)險評價等。

關(guān)鍵詞：信息安全 風(fēng)險評估 風(fēng)險管理 風(fēng)險應(yīng)對

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文42篇，出版專著12本。

信息安全管理系列之十五

無論是信息安全管理體系（ISMS），還是信息系統(tǒng)安全等級保護，幾乎所有的信息安全管理最佳實踐都以風(fēng)險管理為基礎(chǔ)。但是，由于理解或翻譯問題，風(fēng)險管理的諸多詞匯應(yīng)用都較為混亂，例如，“風(fēng)險處理”“風(fēng)險處置”和“風(fēng)險應(yīng)對”在英文中都是risk treatment。下文以GB/T 23694—2013 / ISO Guide 73：2009的術(shù)語定義為基礎(chǔ)，對相關(guān)概念進行了解析。

謝宗曉（特約編輯）

1 風(fēng)險管理概念解析

風(fēng)險管理是組織管理活動的一部分，其管理的主要對象就是風(fēng)險。在GB/T 23694—2013 / ISO Guide 73：2009《風(fēng)險管理 術(shù)語》中曾經(jīng)指出，風(fēng)險管理由一系列的活動組成，這些活動包括了標(biāo)識、評價、處理和可能影響組織正常運行事件的整個過程，其準確的定義為：風(fēng)險管理（risk management）是指在風(fēng)險方面，指導(dǎo)和控制組織的協(xié)調(diào)活動。

與風(fēng)險管理定義密切相關(guān)的，還有“風(fēng)險管理框架”和“風(fēng)險管理過程”兩個詞匯。

風(fēng)險管理框架（risk management framework）是指為設(shè)計、執(zhí)行、監(jiān)督、評審和持續(xù)改進整個組織的風(fēng)險管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個有用的注解，分別為：注1：基礎(chǔ)包括管理風(fēng)險的方針1）方針，policy。、目標(biāo)、授權(quán)和承諾；注2：組織安排包括計劃、關(guān)系、責(zé)任、資源、過程和活動；注3：風(fēng)險管理框架是嵌入到組織的整體戰(zhàn)略、運營政策和實踐當(dāng)中的。

風(fēng)險管理過程（risk management process）是指將管理政策2）注意，“政策”在原文中為policy，這和“方針”是一個英文詞匯。Policy還常常被翻譯為“策略”。、程序和操作方法3）“操作方法”對應(yīng)的原文為practices，這個詞匯在管理學(xué)領(lǐng)域有時候被專門用來指“實踐集”，且常常隱含著“最佳實踐”的意思。系統(tǒng)地應(yīng)用于溝通、咨詢、明確環(huán)境以及識別、分析、評價、應(yīng)對、監(jiān)督與評審風(fēng)險的活動中。

風(fēng)險管理框架是要素集合，這個框架并不是單獨存在的，這就體現(xiàn)了風(fēng)險的特點之一，就是一系列的“點”，這些點是要被嵌入（be embedded）。特別值得指出的是，校準（align）4）“校準”的英文原文是align，這個詞匯沒有很通用的中文翻譯，但是在管理學(xué)領(lǐng)域，尤其是信息系統(tǒng)研究領(lǐng)域，戰(zhàn)略校準是研究熱點。、整合（integrate）和嵌入（embed）是信息安全管理領(lǐng)域，也是整個管理學(xué)領(lǐng)域的常見詞匯。其中，在戰(zhàn)略層面一般強調(diào)校準，即無論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略，都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細的策略或流程層次，則強調(diào)整合或嵌入。例如，已經(jīng)有人力資源的管理規(guī)程，需要嵌入安全管理的部分，或者已經(jīng)有事件管理規(guī)程，將其與信息安全事件管理進行整合?？傊?，校準、整合和嵌入是值得深入研究的三種方法。

風(fēng)險管理過程強調(diào)的是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。

圖1　策略、程序和實踐

風(fēng)險管理過程才體現(xiàn)了信息安全應(yīng)該如何做（how）的問題。

嚴格講，風(fēng)險管理不僅僅是過程，是一系列的活動。因此，在下文的圖3中，我們特別指出: 風(fēng)險管理的階段劃分僅作示意。

2 風(fēng)險評估及其過程

在GB/T 23694—2013 / ISO Guide 73：2009中，風(fēng)險評估并不是作為一個單獨的過程定義的。其中定義為：風(fēng)險評估（risk assessment）包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的全過程。

風(fēng)險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當(dāng)時并沒有單獨把“風(fēng)險識別”作為一個單獨的階段?；蛘哒f，在當(dāng)時的定義中，“風(fēng)險識別”是作為“風(fēng)險分析”的一個階段而出現(xiàn)的，詳細定義為：風(fēng)險評估包括風(fēng)險分析和風(fēng)險評價在內(nèi)的全過程。

為了更好地理解其中的變化，我們在表1中給出了風(fēng)險評估包括的階段的術(shù)語定義。

從表1中可以看出，風(fēng)險評估所包括的活動雖然是確定的，但是邏輯劃分卻變化較大。ISO/IEC Guide 73的2009版本與2002版本比較，變化主要體現(xiàn)在：1）風(fēng)險識別作為一個單獨的階段劃分出來；2）風(fēng)險估計不再是單獨的階段，而是作為風(fēng)險分析的一個階段。更直觀的對比如圖2所示。

無論如何劃分，風(fēng)險評估都要完成下面這些活動：步驟一，找到風(fēng)險（風(fēng)險識別）；步驟二，估計風(fēng)險的大?。L(fēng)險估計）；步驟三，評價風(fēng)險的嚴重性程度（風(fēng)險評價）。

在上述三個步驟中，步驟一與步驟二較為通用，或者說，截至到風(fēng)險分析階段，我們需要確定風(fēng)險的等級，這都可以按照通用的標(biāo)準或方法提前定義好。步驟三則不同，這個步驟需要結(jié)合組織自己定義的風(fēng)險準則。

3 區(qū)分風(fēng)險評估與風(fēng)險管理

我們可以簡單地認為，風(fēng)險評估是風(fēng)險管理的一個階段，只是在更大的風(fēng)險管理流程中的一個評估風(fēng)險的階段。如果把風(fēng)險管理理解成一個“對癥下藥”的過程，那么風(fēng)險評估就是其中的“對癥”過程，只是找到問題所在，并沒有義務(wù)解決。而風(fēng)

險管理是在整個組織內(nèi)把風(fēng)險降低到可接受水平的整個過程。主要階段包括風(fēng)險評估和風(fēng)險應(yīng)對（risk treatment）7）risk treatment，這個詞匯的翻譯比較混亂，但英文都是一樣的?！帮L(fēng)險應(yīng)對”是GB/T 23694—2013/ISO Guide 73：2009的最新出現(xiàn)的譯法。在GB/T 23694 —2009/ISO/IEC Guide 73：2002中risk treatment翻譯為“風(fēng)險處理”。risk treatment在GB/T 22080—2008/ISO/IEC 27001：2005中就被翻譯為“風(fēng)險處置”。。

表1　新舊版標(biāo)準中定義的對比

圖2　風(fēng)險評估階段劃分的變化對比

風(fēng)險管理是一個持續(xù)循環(huán)，不斷上升的過程，它被定義為一個持續(xù)的周期，每隔一個階段就開始新的循環(huán)，這些循環(huán)要貫穿組織的始終，是組織管理的一部分。風(fēng)險評估則更像“搞運動”，其一般按照一定的時間間隔進行，但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機構(gòu)變化等，都可能啟動新的風(fēng)險評估過程。

風(fēng)險管理的循環(huán)過程不是在原地踏步的，它的每一次新循環(huán)都應(yīng)該上一個新的臺階，呈螺旋上升的形狀。如圖3所示。

圖3　持續(xù)改進的示例

這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風(fēng)險評估，在每一次風(fēng)險評估中都會發(fā)現(xiàn)潛在的問題，并在接下來的風(fēng)險應(yīng)對過程中加以解決，從而使組織管理風(fēng)險的能力得到提升。

4 風(fēng)險應(yīng)對概念解析

無論風(fēng)險評估步驟進行得多么完美，都只是找到了問題，而解決問題應(yīng)該是組織的最終目的。風(fēng)險應(yīng)對的步驟就是評估、選擇并且執(zhí)行這些改進措施的過程。

風(fēng)險應(yīng)對（risk treatment）是指處理8）此處必須注意，“處理”的原文用的是modify，改變。實際上，這個詞匯倒是很準確地表達了風(fēng)險應(yīng)對的本質(zhì)，只是用詞不是很正式。風(fēng)險的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個定義也有詳細的注解，包括：注1：風(fēng)險應(yīng)對可以包括：1）不開始或不再繼續(xù)導(dǎo)致風(fēng)險的行動，以規(guī)避風(fēng)險；2）為尋求機會而承擔(dān)或增加風(fēng)險；3）消除風(fēng)險源；4）改變可能性；5）改變后果；6）與其他各方分擔(dān)風(fēng)險（包括合同和風(fēng)險融資）；7）慎重考慮后決定保留風(fēng)險。注2：針對負面后果的風(fēng)險應(yīng)對有時指“風(fēng)險緩解（risk mitigation）”“風(fēng)險消除（risk elimination）”“風(fēng)險預(yù)防（risk prevention）”“風(fēng)險降低（risk reduction）”等。注3：風(fēng)險應(yīng)對可能產(chǎn)生新的風(fēng)險或改變現(xiàn)有風(fēng)險。

“風(fēng)險應(yīng)對”定義的注1較為詳細，其中給出了可能的應(yīng)對措施，其中1）規(guī)避風(fēng)險，6）分擔(dān)或轉(zhuǎn)移風(fēng)險以及7）接受風(fēng)險，與ISO/IEC 27001：2005的描述基本類似，2）為尋求機會而承擔(dān)或增加風(fēng)險更偏重組織業(yè)務(wù)角度視角，3）、4）與5）則是降低風(fēng)險的基本途徑，這三項的任何之一都可以改變目前的風(fēng)險狀況。

5 小結(jié)

本文中介紹的詞匯，大致可以簡單地用圖4表示。

圖4　風(fēng)險管理過程

參考文獻

[1]GB/T 23694—2013/ISO Guide 73：2009 風(fēng)險管理術(shù)語

[2]GB/T 23694—2009/ISO/IEC Guide 73：2002 風(fēng)險管理 術(shù)語

[3]趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險評估——概念、方法和實踐（第2版）[M]. 北京：中國標(biāo)準出版社，2016.

Defi nitions of Generic Terms Related to Risk Management

Xie Zongxiao ( Business School, Nankai University )

Abstract:The paper provides the defi nitions of generic terms related to risk management, including risk management, risk assessment, risk treatment, risk identifi cation, risk analysis, risk evaluation and so on.

Key words:information security, risk assessment, risk management, risk treatment