风险评估与风险管理的概念

 风险评估 (Risk Assessment)：有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估，也就是确认安全风险及其大小的过程。
    风险评估是信息安全管理的基础，它为安全管理的后续工作提供方向和依据，后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制的效果也必须通过对剩余风险的评估来衡量。
    风险管理是信息安全管理体系建立的基础。完整的风险管理包括资产识别、资产估值、风险分析、风险评价、风险处理和剩余风险评估等过程，这些过程需要处理大量的数据，而资产、资产属性、威胁、薄弱点、事件的影响、发生的可能性、控制措施等风险评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化，需要不断的重复的进行大量的数据处理。风险评估是一把双刃剑，组织可以通过风险评估，发现风险，进而控制风险。但是，风险评估结果本身对组织也是一项威胁，如果保管不当，被泄漏出去，则攻击者将全面了解组织的风险所在，可以发起有的放矢的攻击。因此，必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格来完成，非常容易被利用E-mail，U盘等媒体传递，造成风险。
    风险管理(Risk Management)：以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过制定信息安全方针，选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。
    在风险评估和风险管理方法被应用的过程中，评估时间、力度以及具体开展的深度应与组织的环境和安全要求相称。按照风险评估的深度，风险评估方法可分为：
□ 基本的风险评估方法：对组织所面临的风险全部采用统一、简单的方法进行评估分析并确定一个安全标准，这种方法仅适用于规模小、流程简单、信息安全要求不是很高的组织；
□ 详细的风险评估方法：对信息系统中所有的部分都进行详细的评估分析；
□ 联合的风险评估方法：先鉴定出一个信息系统中的高风险、关键、敏感部分进行详细的评估分析，然后对其他的部分采取基本的评估分析。