信息安全風險管理相關詞匯定義與解析

謝宗曉（南開大學商學院）

?

信息安全風險管理相關詞匯定義與解析

謝宗曉（南開大學商學院）

摘要：本文給出了風險管理相關術語的定義及其詳細的解析，其中包括：風險管理、風險評估、風險應對、風險識別、風險分析和風險評價等。

關鍵詞：信息安全 風險評估 風險管理 風險應對

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文42篇，出版專著12本。

信息安全管理系列之十五

無論是信息安全管理體系（ISMS），還是信息系統安全等級保護，幾乎所有的信息安全管理最佳實踐都以風險管理為基礎。但是，由于理解或翻譯問題，風險管理的諸多詞匯應用都較為混亂，例如，“風險處理”“風險處置”和“風險應對”在英文中都是risk treatment。下文以GB/T 23694—2013 / ISO Guide 73：2009的術語定義為基礎，對相關概念進行了解析。

謝宗曉（特約編輯）

1 風險管理概念解析

風險管理是組織管理活動的一部分，其管理的主要對象就是風險。在GB/T 23694—2013 / ISO Guide 73：2009《風險管理 術語》中曾經指出，風險管理由一系列的活動組成，這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程，其準確的定義為：風險管理（risk management）是指在風險方面，指導和控制組織的協調活動。

與風險管理定義密切相關的，還有“風險管理框架”和“風險管理過程”兩個詞匯。

風險管理框架（risk management framework）是指為設計、執行、監督、評審和持續改進整個組織的風險管理提供基礎和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個有用的注解，分別為：注1：基礎包括管理風險的方針1）方針，policy。、目標、授權和承諾；注2：組織安排包括計劃、關系、責任、資源、過程和活動；注3：風險管理框架是嵌入到組織的整體戰略、運營政策和實踐當中的。

風險管理過程（risk management process）是指將管理政策2）注意，“政策”在原文中為policy，這和“方針”是一個英文詞匯。Policy還常常被翻譯為“策略”。、程序和操作方法3）“操作方法”對應的原文為practices，這個詞匯在管理學領域有時候被專門用來指“實踐集”，且常常隱含著“最佳實踐”的意思。系統地應用于溝通、咨詢、明確環境以及識別、分析、評價、應對、監督與評審風險的活動中。

風險管理框架是要素集合，這個框架并不是單獨存在的，這就體現了風險的特點之一，就是一系列的“點”，這些點是要被嵌入（be embedded）。特別值得指出的是，校準（align）4）“校準”的英文原文是align，這個詞匯沒有很通用的中文翻譯，但是在管理學領域，尤其是信息系統研究領域，戰略校準是研究熱點。、整合（integrate）和嵌入（embed）是信息安全管理領域，也是整個管理學領域的常見詞匯。其中，在戰略層面一般強調校準，即無論是信息安全的戰略還是信息系統的戰略，都應該與組織的整體戰略保持一致。在更細的策略或流程層次，則強調整合或嵌入。例如，已經有人力資源的管理規程，需要嵌入安全管理的部分，或者已經有事件管理規程，將其與信息安全事件管理進行整合。總之，校準、整合和嵌入是值得深入研究的三種方法。

風險管理過程強調的是系統化的策略、程序和方法。這三者關系如圖1所示。

圖1　策略、程序和實踐

風險管理過程才體現了信息安全應該如何做（how）的問題。

嚴格講，風險管理不僅僅是過程，是一系列的活動。因此，在下文的圖3中，我們特別指出: 風險管理的階段劃分僅作示意。

2 風險評估及其過程

在GB/T 23694—2013 / ISO Guide 73：2009中，風險評估并不是作為一個單獨的過程定義的。其中定義為：風險評估（risk assessment）包括風險識別、風險分析和風險評價的全過程。

風險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當時并沒有單獨把“風險識別”作為一個單獨的階段。或者說，在當時的定義中，“風險識別”是作為“風險分析”的一個階段而出現的，詳細定義為：風險評估包括風險分析和風險評價在內的全過程。

為了更好地理解其中的變化，我們在表1中給出了風險評估包括的階段的術語定義。

從表1中可以看出，風險評估所包括的活動雖然是確定的，但是邏輯劃分卻變化較大。ISO/IEC Guide 73的2009版本與2002版本比較，變化主要體現在：1）風險識別作為一個單獨的階段劃分出來；2）風險估計不再是單獨的階段，而是作為風險分析的一個階段。更直觀的對比如圖2所示。

無論如何劃分，風險評估都要完成下面這些活動：步驟一，找到風險（風險識別）；步驟二，估計風險的大小（風險估計）；步驟三，評價風險的嚴重性程度（風險評價）。

在上述三個步驟中，步驟一與步驟二較為通用，或者說，截至到風險分析階段，我們需要確定風險的等級，這都可以按照通用的標準或方法提前定義好。步驟三則不同，這個步驟需要結合組織自己定義的風險準則。

3 區分風險評估與風險管理

我們可以簡單地認為，風險評估是風險管理的一個階段，只是在更大的風險管理流程中的一個評估風險的階段。如果把風險管理理解成一個“對癥下藥”的過程，那么風險評估就是其中的“對癥”過程，只是找到問題所在，并沒有義務解決。而風

險管理是在整個組織內把風險降低到可接受水平的整個過程。主要階段包括風險評估和風險應對（risk treatment）7）risk treatment，這個詞匯的翻譯比較混亂，但英文都是一樣的。“風險應對”是GB/T 23694—2013/ISO Guide 73：2009的最新出現的譯法。在GB/T 23694 —2009/ISO/IEC Guide 73：2002中risk treatment翻譯為“風險處理”。risk treatment在GB/T 22080—2008/ISO/IEC 27001：2005中就被翻譯為“風險處置”。。

表1　新舊版標準中定義的對比

圖2　風險評估階段劃分的變化對比

風險管理是一個持續循環，不斷上升的過程，它被定義為一個持續的周期，每隔一個階段就開始新的循環，這些循環要貫穿組織的始終，是組織管理的一部分。風險評估則更像“搞運動”，其一般按照一定的時間間隔進行，但是如果發生組織業務變化、出理新的漏洞或基礎機構變化等，都可能啟動新的風險評估過程。

風險管理的循環過程不是在原地踏步的，它的每一次新循環都應該上一個新的臺階，呈螺旋上升的形狀。如圖3所示。

圖3　持續改進的示例

這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風險評估，在每一次風險評估中都會發現潛在的問題，并在接下來的風險應對過程中加以解決，從而使組織管理風險的能力得到提升。

4 風險應對概念解析

無論風險評估步驟進行得多么完美，都只是找到了問題，而解決問題應該是組織的最終目的。風險應對的步驟就是評估、選擇并且執行這些改進措施的過程。

風險應對（risk treatment）是指處理8）此處必須注意，“處理”的原文用的是modify，改變。實際上，這個詞匯倒是很準確地表達了風險應對的本質，只是用詞不是很正式。風險的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個定義也有詳細的注解，包括：注1：風險應對可以包括：1）不開始或不再繼續導致風險的行動，以規避風險；2）為尋求機會而承擔或增加風險；3）消除風險源；4）改變可能性；5）改變后果；6）與其他各方分擔風險（包括合同和風險融資）；7）慎重考慮后決定保留風險。注2：針對負面后果的風險應對有時指“風險緩解（risk mitigation）”“風險消除（risk elimination）”“風險預防（risk prevention）”“風險降低（risk reduction）”等。注3：風險應對可能產生新的風險或改變現有風險。

“風險應對”定義的注1較為詳細，其中給出了可能的應對措施，其中1）規避風險，6）分擔或轉移風險以及7）接受風險，與ISO/IEC 27001：2005的描述基本類似，2）為尋求機會而承擔或增加風險更偏重組織業務角度視角，3）、4）與5）則是降低風險的基本途徑，這三項的任何之一都可以改變目前的風險狀況。

5 小結

本文中介紹的詞匯，大致可以簡單地用圖4表示。

圖4　風險管理過程

參考文獻

[1]GB/T 23694—2013/ISO Guide 73：2009 風險管理術語

[2]GB/T 23694—2009/ISO/IEC Guide 73：2002 風險管理 術語

[3]趙戰生，謝宗曉. 信息安全風險評估——概念、方法和實踐（第2版）[M]. 北京：中國標準出版社，2016.

Defi nitions of Generic Terms Related to Risk Management

Xie Zongxiao ( Business School, Nankai University )

Abstract:The paper provides the defi nitions of generic terms related to risk management, including risk management, risk assessment, risk treatment, risk identifi cation, risk analysis, risk evaluation and so on.

Key words:information security, risk assessment, risk management, risk treatment