信息安全风险管理相关词汇定义与解析

谢宗晓（南开大学商学院）



信息安全风险管理相关词汇定义与解析

谢宗晓（南开大学商学院）

摘要：本文给出了风险管理相关术语的定义及其详细的解析，其中包括：风险管理、风险评估、风险应对、风险识别、风险分析和风险评价等。

关键词：信息安全 风险评估 风险管理 风险应对

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文42篇，出版专著12本。

信息安全管理系列之十五

无论是信息安全管理体系（ISMS），还是信息系统安全等级保护，几乎所有的信息安全管理最佳实践都以风险管理为基础。但是，由于理解或翻译问题，风险管理的诸多词汇应用都较为混乱，例如，“风险处理”“风险处置”和“风险应对”在英文中都是risk treatment。下文以GB/T 23694—2013 / ISO Guide 73：2009的术语定义为基础，对相关概念进行了解析。

谢宗晓（特约编辑）

1 风险管理概念解析

风险管理是组织管理活动的一部分，其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73：2009《风险管理 术语》中曾经指出，风险管理由一系列的活动组成，这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程，其准确的定义为：风险管理（risk management）是指在风险方面，指导和控制组织的协调活动。

与风险管理定义密切相关的，还有“风险管理框架”和“风险管理过程”两个词汇。

风险管理框架（risk management framework）是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中给了三个有用的注解，分别为：注1：基础包括管理风险的方针1）方针，policy。、目标、授权和承诺；注2：组织安排包括计划、关系、责任、资源、过程和活动；注3：风险管理框架是嵌入到组织的整体战略、运营政策和实践当中的。

风险管理过程（risk management process）是指将管理政策2）注意，“政策”在原文中为policy，这和“方针”是一个英文词汇。Policy还常常被翻译为“策略”。、程序和操作方法3）“操作方法”对应的原文为practices，这个词汇在管理学领域有时候被专门用来指“实践集”，且常常隐含着“最佳实践”的意思。系统地应用于沟通、咨询、明确环境以及识别、分析、评价、应对、监督与评审风险的活动中。

风险管理框架是要素集合，这个框架并不是单独存在的，这就体现了风险的特点之一，就是一系列的“点”，这些点是要被嵌入（be embedded）。特别值得指出的是，校准（align）4）“校准”的英文原文是align，这个词汇没有很通用的中文翻译，但是在管理学领域，尤其是信息系统研究领域，战略校准是研究热点。、整合（integrate）和嵌入（embed）是信息安全管理领域，也是整个管理学领域的常见词汇。其中，在战略层面一般强调校准，即无论是信息安全的战略还是信息系统的战略，都应该与组织的整体战略保持一致。在更细的策略或流程层次，则强调整合或嵌入。例如，已经有人力资源的管理规程，需要嵌入安全管理的部分，或者已经有事件管理规程，将其与信息安全事件管理进行整合。总之，校准、整合和嵌入是值得深入研究的三种方法。

风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。

图1　策略、程序和实践

风险管理过程才体现了信息安全应该如何做（how）的问题。

严格讲，风险管理不仅仅是过程，是一系列的活动。因此，在下文的图3中，我们特别指出: 风险管理的阶段划分仅作示意。

2 风险评估及其过程

在GB/T 23694—2013 / ISO Guide 73：2009中，风险评估并不是作为一个单独的过程定义的。其中定义为：风险评估（risk assessment）包括风险识别、风险分析和风险评价的全过程。

风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中虽然也是类似的定义，但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说，在当时的定义中，“风险识别”是作为“风险分析”的一个阶段而出现的，详细定义为：风险评估包括风险分析和风险评价在内的全过程。

为了更好地理解其中的变化，我们在表1中给出了风险评估包括的阶段的术语定义。

从表1中可以看出，风险评估所包括的活动虽然是确定的，但是逻辑划分却变化较大。ISO/IEC Guide 73的2009版本与2002版本比较，变化主要体现在：1）风险识别作为一个单独的阶段划分出来；2）风险估计不再是单独的阶段，而是作为风险分析的一个阶段。更直观的对比如图2所示。

无论如何划分，风险评估都要完成下面这些活动：步骤一，找到风险（风险识别）；步骤二，估计风险的大小（风险估计）；步骤三，评价风险的严重性程度（风险评价）。

在上述三个步骤中，步骤一与步骤二较为通用，或者说，截至到风险分析阶段，我们需要确定风险的等级，这都可以按照通用的标准或方法提前定义好。步骤三则不同，这个步骤需要结合组织自己定义的风险准则。

3 区分风险评估与风险管理

我们可以简单地认为，风险评估是风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程，那么风险评估就是其中的“对症”过程，只是找到问题所在，并没有义务解决。而风

险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对（risk treatment）7）risk treatment，这个词汇的翻译比较混乱，但英文都是一样的。“风险应对”是GB/T 23694—2013/ISO Guide 73：2009的最新出现的译法。在GB/T 23694 —2009/ISO/IEC Guide 73：2002中risk treatment翻译为“风险处理”。risk treatment在GB/T 22080—2008/ISO/IEC 27001：2005中就被翻译为“风险处置”。。

表1　新旧版标准中定义的对比

图2　风险评估阶段划分的变化对比

风险管理是一个持续循环，不断上升的过程，它被定义为一个持续的周期，每隔一个阶段就开始新的循环，这些循环要贯穿组织的始终，是组织管理的一部分。风险评估则更像“搞运动”，其一般按照一定的时间间隔进行，但是如果发生组织业务变化、出理新的漏洞或基础机构变化等，都可能启动新的风险评估过程。

风险管理的循环过程不是在原地踏步的，它的每一次新循环都应该上一个新的台阶，呈螺旋上升的形状。如图3所示。

图3　持续改进的示例

这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估，在每一次风险评估中都会发现潜在的问题，并在接下来的风险应对过程中加以解决，从而使组织管理风险的能力得到提升。

4 风险应对概念解析

无论风险评估步骤进行得多么完美，都只是找到了问题，而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。

风险应对（risk treatment）是指处理8）此处必须注意，“处理”的原文用的是modify，改变。实际上，这个词汇倒是很准确地表达了风险应对的本质，只是用词不是很正式。风险的过程。在GB/T 23694—2013 / ISO Guide 73：2009中，对这个定义也有详细的注解，包括：注1：风险应对可以包括：1）不开始或不再继续导致风险的行动，以规避风险；2）为寻求机会而承担或增加风险；3）消除风险源；4）改变可能性；5）改变后果；6）与其他各方分担风险（包括合同和风险融资）；7）慎重考虑后决定保留风险。注2：针对负面后果的风险应对有时指“风险缓解（risk mitigation）”“风险消除（risk elimination）”“风险预防（risk prevention）”“风险降低（risk reduction）”等。注3：风险应对可能产生新的风险或改变现有风险。

“风险应对”定义的注1较为详细，其中给出了可能的应对措施，其中1）规避风险，6）分担或转移风险以及7）接受风险，与ISO/IEC 27001：2005的描述基本类似，2）为寻求机会而承担或增加风险更偏重组织业务角度视角，3）、4）与5）则是降低风险的基本途径，这三项的任何之一都可以改变目前的风险状况。

5 小结

本文中介绍的词汇，大致可以简单地用图4表示。

图4　风险管理过程

参考文献

[1]GB/T 23694—2013/ISO Guide 73：2009 风险管理术语

[2]GB/T 23694—2009/ISO/IEC Guide 73：2002 风险管理 术语

[3]赵战生，谢宗晓. 信息安全风险评估——概念、方法和实践（第2版）[M]. 北京：中国标准出版社，2016.

Defi nitions of Generic Terms Related to Risk Management

Xie Zongxiao ( Business School, Nankai University )

Abstract:The paper provides the defi nitions of generic terms related to risk management, including risk management, risk assessment, risk treatment, risk identifi cation, risk analysis, risk evaluation and so on.

Key words:information security, risk assessment, risk management, risk treatment