1.与风险管理有关的概念

风险管理,以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。

a.安全控制，降低安全风险的惯例、程序或机制。

b.剩余风险，实施安全控制后，剩余的安全风险

c.适用性声明，适用于组织需要的目标和控制的评述

2.风险评估与管理的术语关系图

（其实，安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系）

3.风险评估过程

a.风险评估应考虑的因素

（1）信息资产及其价值

（2）对这些资产的威胁，以及他们发生的可能性

（3）薄弱点

（4）已有的安全控制措施

b.风险评估的基本步骤

（1）按照组织商务运作流程进行信息资产识别， 并根据估价原则对资产进行估价

（2）根据资产所处的环境进行威胁识别与评价

（3）对应每一威胁，对资产或组织存在的薄弱点 进行识别与评价

（4）对已采取的安全控制进行确认

（5）建立风险测量的方法及风险等级评价原则， 确定风险的大小与等级

4.资产识别与估价

资产识别时常应考虑：（1）数据与文档（2）书面文件（3）软件资产（4）实物资产（5）人员（6）服务

5.资产估价的概念

资产估价是一个主观的过程，资产价值不是以资产的账面价格来衡量的，而是指其相对价值。在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是考虑资产对于组织商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。

6.ptv=pt*pv

式中  ptv——考虑资产薄弱点因素的威胁发生的可能性；

pt——未考虑资产薄弱点因素的威胁发生的可能性，即这一威胁发生可能性的组织、行业、地区或社会均值；

pv——资产的薄弱点被威胁利用的可能性

7.威胁的评价

评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要度）为限。

威胁的潜在影响i=资产相对价值v*价值损失程度cl

价值损失程度cl是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全丧失（即cl=1），但不可能对资产价值没有任何影响（即cl≠0）。为简化评价过程，可以用资产的相对价值代替其所面临的威胁产生的影响，即用v代替i，让cl=1。

8.风险评估（重点）

①风险测量方法—风险大小和等级评价原则

风险是威胁发生的可能性,薄弱点被威胁利用的可能性和威胁的潜在影响的函数:                r=r(pt,pv,i)  

其中：r---资产受到某一威胁所拥有的风险

例2-3  使用风险矩阵表进行测量（预先价值矩阵）

例2-4 二元乘法风险测量，计算公式为：r=r(ptv,i)=ptv*i即利用威胁发生的真实可能性ptv和威胁的潜在影响i两个因素来评价风险，风险大小为两者因素值之乘积

例2-5 关于网络系统的风险测量举例

r=r(ptv,i)=i*ptv=v*cl*ptv=v*(1-pd)*(1-po) 式中：v----系统的重要性       po---防止威胁发生的可能性 , ptv = 1-po

pd---防止系统性能降低的可能性, cl= 1-pd

例2-6,7可接受的和不可接受的风险区分方法

③风险优先级别确定

例2-8 利用区间的方法将例2-1计算的风险进行等级划分

9.安全控制的识别和选择：

选择依据①以风险评估的结果为依据②以费用因素为依据

10.风险控制：

降低风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁④减少薄弱点⑤减少威胁可能的影响程度⑥探测有害事故，对其做出反应并恢复,属及时捕捉威胁

11.基本的风险评估

优点：（1）风险评估所需资源最少，简便易行

（2）同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很   大的精力。如果多个商业要求类似，并且在相同的环境中运作，这些控制可以提供一个经济有效的解决方案。

缺点：（1）如果安全水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，对一些组织来说，可能会得不到充分的安全。（由于方法是基本的，不细，较粗，因此，评估结果可能也较粗，不够精确，有一定的出入）

（2）对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定的困难。

12.详细的风险评估 

优点：（1）能获得一个更精确的安全风险的认识，从而更为精确地识别反映组织安全要求的安全水平。

（2）可以从详细的风险评估中获得额外信息，使与组织更改相关的安全管理受益。

缺点：（1）需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边界，需要管理者持续关注，因而需要花费相当的时间、精力和技术才能获得可行的结果。

（2）不能把一个系统的控制方案简单移植到另一个系统中，甚至是一个以为类似的系统中。.

13.风险评估和管理方法的选择应考虑的因素

⑴商务环境

⑵商务性质和重要性

⑶对支持组织商务的信息系统的技术性和非技术性的依赖