謝宗曉（南開大學(xué)商學(xué)院）

?

信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析

謝宗曉（南開大學(xué)商學(xué)院）

摘要：本文給出了風(fēng)險(xiǎn)管理相關(guān)術(shù)語的定義及其詳細(xì)的解析，其中包括：風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)應(yīng)對、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)等。

關(guān)鍵詞：信息安全 風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)應(yīng)對

謝宗曉 博士

“十二五”國家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文42篇，出版專著12本。

信息安全管理系列之十五

無論是信息安全管理體系（ISMS），還是信息系統(tǒng)安全等級保護(hù)，幾乎所有的信息安全管理最佳實(shí)踐都以風(fēng)險(xiǎn)管理為基礎(chǔ)。但是，由于理解或翻譯問題，風(fēng)險(xiǎn)管理的諸多詞匯應(yīng)用都較為混亂，例如，“風(fēng)險(xiǎn)處理”“風(fēng)險(xiǎn)處置”和“風(fēng)險(xiǎn)應(yīng)對”在英文中都是risk treatment。下文以GB/T 23694—2013 / ISO Guide 73：2009的術(shù)語定義為基礎(chǔ)，對相關(guān)概念進(jìn)行了解析。

謝宗曉（特約編輯）

1 風(fēng)險(xiǎn)管理概念解析

風(fēng)險(xiǎn)管理是組織管理活動的一部分，其管理的主要對象就是風(fēng)險(xiǎn)。在GB/T 23694—2013 / ISO Guide 73：2009《風(fēng)險(xiǎn)管理 術(shù)語》中曾經(jīng)指出，風(fēng)險(xiǎn)管理由一系列的活動組成，這些活動包括了標(biāo)識、評價(jià)、處理和可能影響組織正常運(yùn)行事件的整個(gè)過程，其準(zhǔn)確的定義為：風(fēng)險(xiǎn)管理（risk management）是指在風(fēng)險(xiǎn)方面，指導(dǎo)和控制組織的協(xié)調(diào)活動。

與風(fēng)險(xiǎn)管理定義密切相關(guān)的，還有“風(fēng)險(xiǎn)管理框架”和“風(fēng)險(xiǎn)管理過程”兩個(gè)詞匯。

風(fēng)險(xiǎn)管理框架（risk management framework）是指為設(shè)計(jì)、執(zhí)行、監(jiān)督、評審和持續(xù)改進(jìn)整個(gè)組織的風(fēng)險(xiǎn)管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個(gè)有用的注解，分別為：注1：基礎(chǔ)包括管理風(fēng)險(xiǎn)的方針1）方針，policy。、目標(biāo)、授權(quán)和承諾；注2：組織安排包括計(jì)劃、關(guān)系、責(zé)任、資源、過程和活動；注3：風(fēng)險(xiǎn)管理框架是嵌入到組織的整體戰(zhàn)略、運(yùn)營政策和實(shí)踐當(dāng)中的。

風(fēng)險(xiǎn)管理過程（risk management process）是指將管理政策2）注意，“政策”在原文中為policy，這和“方針”是一個(gè)英文詞匯。Policy還常常被翻譯為“策略”。、程序和操作方法3）“操作方法”對應(yīng)的原文為practices，這個(gè)詞匯在管理學(xué)領(lǐng)域有時(shí)候被專門用來指“實(shí)踐集”，且常常隱含著“最佳實(shí)踐”的意思。系統(tǒng)地應(yīng)用于溝通、咨詢、明確環(huán)境以及識別、分析、評價(jià)、應(yīng)對、監(jiān)督與評審風(fēng)險(xiǎn)的活動中。

風(fēng)險(xiǎn)管理框架是要素集合，這個(gè)框架并不是單獨(dú)存在的，這就體現(xiàn)了風(fēng)險(xiǎn)的特點(diǎn)之一，就是一系列的“點(diǎn)”，這些點(diǎn)是要被嵌入（be embedded）。特別值得指出的是，校準(zhǔn)（align）4）“校準(zhǔn)”的英文原文是align，這個(gè)詞匯沒有很通用的中文翻譯，但是在管理學(xué)領(lǐng)域，尤其是信息系統(tǒng)研究領(lǐng)域，戰(zhàn)略校準(zhǔn)是研究熱點(diǎn)。、整合（integrate）和嵌入（embed）是信息安全管理領(lǐng)域，也是整個(gè)管理學(xué)領(lǐng)域的常見詞匯。其中，在戰(zhàn)略層面一般強(qiáng)調(diào)校準(zhǔn)，即無論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略，都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細(xì)的策略或流程層次，則強(qiáng)調(diào)整合或嵌入。例如，已經(jīng)有人力資源的管理規(guī)程，需要嵌入安全管理的部分，或者已經(jīng)有事件管理規(guī)程，將其與信息安全事件管理進(jìn)行整合?？傊?zhǔn)、整合和嵌入是值得深入研究的三種方法。

風(fēng)險(xiǎn)管理過程強(qiáng)調(diào)的是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。

圖1　策略、程序和實(shí)踐

風(fēng)險(xiǎn)管理過程才體現(xiàn)了信息安全應(yīng)該如何做（how）的問題。

嚴(yán)格講，風(fēng)險(xiǎn)管理不僅僅是過程，是一系列的活動。因此，在下文的圖3中，我們特別指出: 風(fēng)險(xiǎn)管理的階段劃分僅作示意。

2 風(fēng)險(xiǎn)評估及其過程

在GB/T 23694—2013 / ISO Guide 73：2009中，風(fēng)險(xiǎn)評估并不是作為一個(gè)單獨(dú)的過程定義的。其中定義為：風(fēng)險(xiǎn)評估（risk assessment）包括風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的全過程。

風(fēng)險(xiǎn)評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當(dāng)時(shí)并沒有單獨(dú)把“風(fēng)險(xiǎn)識別”作為一個(gè)單獨(dú)的階段。或者說，在當(dāng)時(shí)的定義中，“風(fēng)險(xiǎn)識別”是作為“風(fēng)險(xiǎn)分析”的一個(gè)階段而出現(xiàn)的，詳細(xì)定義為：風(fēng)險(xiǎn)評估包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)在內(nèi)的全過程。

為了更好地理解其中的變化，我們在表1中給出了風(fēng)險(xiǎn)評估包括的階段的術(shù)語定義。

從表1中可以看出，風(fēng)險(xiǎn)評估所包括的活動雖然是確定的，但是邏輯劃分卻變化較大。ISO/IEC Guide 73的2009版本與2002版本比較，變化主要體現(xiàn)在：1）風(fēng)險(xiǎn)識別作為一個(gè)單獨(dú)的階段劃分出來；2）風(fēng)險(xiǎn)估計(jì)不再是單獨(dú)的階段，而是作為風(fēng)險(xiǎn)分析的一個(gè)階段。更直觀的對比如圖2所示。

無論如何劃分，風(fēng)險(xiǎn)評估都要完成下面這些活動：步驟一，找到風(fēng)險(xiǎn)（風(fēng)險(xiǎn)識別）；步驟二，估計(jì)風(fēng)險(xiǎn)的大?。L(fēng)險(xiǎn)估計(jì)）；步驟三，評價(jià)風(fēng)險(xiǎn)的嚴(yán)重性程度（風(fēng)險(xiǎn)評價(jià)）。

在上述三個(gè)步驟中，步驟一與步驟二較為通用，或者說，截至到風(fēng)險(xiǎn)分析階段，我們需要確定風(fēng)險(xiǎn)的等級，這都可以按照通用的標(biāo)準(zhǔn)或方法提前定義好。步驟三則不同，這個(gè)步驟需要結(jié)合組織自己定義的風(fēng)險(xiǎn)準(zhǔn)則。

3 區(qū)分風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理

我們可以簡單地認(rèn)為，風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的一個(gè)階段，只是在更大的風(fēng)險(xiǎn)管理流程中的一個(gè)評估風(fēng)險(xiǎn)的階段。如果把風(fēng)險(xiǎn)管理理解成一個(gè)“對癥下藥”的過程，那么風(fēng)險(xiǎn)評估就是其中的“對癥”過程，只是找到問題所在，并沒有義務(wù)解決。而風(fēng)

險(xiǎn)管理是在整個(gè)組織內(nèi)把風(fēng)險(xiǎn)降低到可接受水平的整個(gè)過程。主要階段包括風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)應(yīng)對（risk treatment）7）risk treatment，這個(gè)詞匯的翻譯比較混亂，但英文都是一樣的?！帮L(fēng)險(xiǎn)應(yīng)對”是GB/T 23694—2013/ISO Guide 73：2009的最新出現(xiàn)的譯法。在GB/T 23694 —2009/ISO/IEC Guide 73：2002中risk treatment翻譯為“風(fēng)險(xiǎn)處理”。risk treatment在GB/T 22080—2008/ISO/IEC 27001：2005中就被翻譯為“風(fēng)險(xiǎn)處置”。。

表1　新舊版標(biāo)準(zhǔn)中定義的對比

圖2　風(fēng)險(xiǎn)評估階段劃分的變化對比

風(fēng)險(xiǎn)管理是一個(gè)持續(xù)循環(huán)，不斷上升的過程，它被定義為一個(gè)持續(xù)的周期，每隔一個(gè)階段就開始新的循環(huán)，這些循環(huán)要貫穿組織的始終，是組織管理的一部分。風(fēng)險(xiǎn)評估則更像“搞運(yùn)動”，其一般按照一定的時(shí)間間隔進(jìn)行，但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機(jī)構(gòu)變化等，都可能啟動新的風(fēng)險(xiǎn)評估過程。

風(fēng)險(xiǎn)管理的循環(huán)過程不是在原地踏步的，它的每一次新循環(huán)都應(yīng)該上一個(gè)新的臺階，呈螺旋上升的形狀。如圖3所示。

圖3　持續(xù)改進(jìn)的示例

這種臺階或者檔次的上升的來源就是組織定期或臨時(shí)啟動的風(fēng)險(xiǎn)評估，在每一次風(fēng)險(xiǎn)評估中都會發(fā)現(xiàn)潛在的問題，并在接下來的風(fēng)險(xiǎn)應(yīng)對過程中加以解決，從而使組織管理風(fēng)險(xiǎn)的能力得到提升。

4 風(fēng)險(xiǎn)應(yīng)對概念解析

無論風(fēng)險(xiǎn)評估步驟進(jìn)行得多么完美，都只是找到了問題，而解決問題應(yīng)該是組織的最終目的。風(fēng)險(xiǎn)應(yīng)對的步驟就是評估、選擇并且執(zhí)行這些改進(jìn)措施的過程。

風(fēng)險(xiǎn)應(yīng)對（risk treatment）是指處理8）此處必須注意，“處理”的原文用的是modify，改變。實(shí)際上，這個(gè)詞匯倒是很準(zhǔn)確地表達(dá)了風(fēng)險(xiǎn)應(yīng)對的本質(zhì)，只是用詞不是很正式。風(fēng)險(xiǎn)的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個(gè)定義也有詳細(xì)的注解，包括：注1：風(fēng)險(xiǎn)應(yīng)對可以包括：1）不開始或不再繼續(xù)導(dǎo)致風(fēng)險(xiǎn)的行動，以規(guī)避風(fēng)險(xiǎn)；2）為尋求機(jī)會而承擔(dān)或增加風(fēng)險(xiǎn)；3）消除風(fēng)險(xiǎn)源；4）改變可能性；5）改變后果；6）與其他各方分擔(dān)風(fēng)險(xiǎn)（包括合同和風(fēng)險(xiǎn)融資）；7）慎重考慮后決定保留風(fēng)險(xiǎn)。注2：針對負(fù)面后果的風(fēng)險(xiǎn)應(yīng)對有時(shí)指“風(fēng)險(xiǎn)緩解（risk mitigation）”“風(fēng)險(xiǎn)消除（risk elimination）”“風(fēng)險(xiǎn)預(yù)防（risk prevention）”“風(fēng)險(xiǎn)降低（risk reduction）”等。注3：風(fēng)險(xiǎn)應(yīng)對可能產(chǎn)生新的風(fēng)險(xiǎn)或改變現(xiàn)有風(fēng)險(xiǎn)。

“風(fēng)險(xiǎn)應(yīng)對”定義的注1較為詳細(xì)，其中給出了可能的應(yīng)對措施，其中1）規(guī)避風(fēng)險(xiǎn)，6）分擔(dān)或轉(zhuǎn)移風(fēng)險(xiǎn)以及7）接受風(fēng)險(xiǎn)，與ISO/IEC 27001：2005的描述基本類似，2）為尋求機(jī)會而承擔(dān)或增加風(fēng)險(xiǎn)更偏重組織業(yè)務(wù)角度視角，3）、4）與5）則是降低風(fēng)險(xiǎn)的基本途徑，這三項(xiàng)的任何之一都可以改變目前的風(fēng)險(xiǎn)狀況。

5 小結(jié)

本文中介紹的詞匯，大致可以簡單地用圖4表示。

圖4　風(fēng)險(xiǎn)管理過程

參考文獻(xiàn)

[1]GB/T 23694—2013/ISO Guide 73：2009 風(fēng)險(xiǎn)管理術(shù)語

[2]GB/T 23694—2009/ISO/IEC Guide 73：2002 風(fēng)險(xiǎn)管理 術(shù)語

[3]趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險(xiǎn)評估——概念、方法和實(shí)踐（第2版）[M]. 北京：中國標(biāo)準(zhǔn)出版社，2016.

Defi nitions of Generic Terms Related to Risk Management

Xie Zongxiao ( Business School, Nankai University )

Abstract:The paper provides the defi nitions of generic terms related to risk management, including risk management, risk assessment, risk treatment, risk identifi cation, risk analysis, risk evaluation and so on.

Key words:information security, risk assessment, risk management, risk treatment