精选优质文档-倾情为你奉上什么是风险?风险(Risk):指在某一特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。ISO 27001要求组织通过风险评估来识别组织的潜在风险及其大小,并按照风险的大小安排控制措施的优先等级。 什么是风险评估? 风险评估 (Risk Assessment):有时候也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估,也就是确认安全风险及其大小的过程。 风险评估是信息安全管理的基础,它为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评估来衡量。 什么是风险管理? 风险管理 (Risk Management):以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大
