首页 > ISO27001认证 > 风险、风险识别、风险分析、风险评价等与风险管理有关术语的定义
风险、风险识别、风险分析、风险评价等与风险管理有关术语的定义
文章来源:上海奔烁咨询 添加时间:2020-2-4
风险:不确定性对目标的影响。
风险识别:发现、认知和描述风险的过程。
风险分析:理解风险的性质并确定风险水平的过程。
风险评价:将风险分析的结果与风险准则进行比较,以确定风险和/或其程度是否可接受或可容忍的过程。
风险评估:风险识别、风险分析、风险评价的过程。
风险处置:调整风险的过程。
注:(1)风险处置包括:
——规避风险;
——为了寻求机遇,冒险或增加风险;
——消除风险源;
——改变可能性;
——改变其后果;
——与其他方或各方分担风险(包括合同和风险财务)。
(2)应对风险处置不利结果,通常指“风险减轻”“风险消除”“风险预防”和“风险降低”。
(3)风险处置可能产生新风险或更改已存在的风险。
风险管理:指导和控制一个组织相关风险的协调活动。
注:(1)以可以接受的费用识别、控制、降低或消除可能影响信息系统的安全风险过程。
(2)风险管理一般包括风险评估、风险处理、风险接受和风险沟通。
(3)通过风险评估来识别风险的大小。
(4)通过制定信息安全方针,采用适当的控制目标和控制方式对风险进行控制。
(5)使风险被避免、转移或降至一个可能接受的水平。
您可能还想看