少年,我看你骨骼惊奇,必是练武奇才,将来维护宇宙正义……
我这有失传已久的武林秘籍,看在咱们有缘传授给你,其中包含了各种网络安全专用词汇和术语。这部秘笈共126式,关注公众号练习起来吧!
下文中括号内所指的章节号是指原标准中的章节号,与本文档的章节号无关。
本标准规定了与风险管理有关的基本术语的定义,旨在鼓励用连贯的方法和一致的理解对风险管理相关活动进行描述,并在涉及风险管理的过程和框架时使用统一的风险管理术语。
本标准适于下列人员使用:
——从事风险管理的人员;
——参与 ISO 和 IEC 活动的人员;
——制定与风险管理有关的国家或行业标准、指南、程序、规程的人员。
与风险有关的术语
风险 risk
不确定性对目标的影响。
注 1:影响是指偏离预期,可以是正面的和/或负面的。
注 2:目标可以是不同方面(如财务、健康与安全、环境等)和层面(如战略、组织、项目、产品和过程等)的目标。
注 3:通常用潜在事件(4.5.1.3)、后果(4.6.1.3)或者两者的组合来区分风险。
注 4:通常用事件后果(包括情形的变化)和事件发生可能性(4.6.1.1)的组合来表示风险。
注 5:不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。
与风险管理有关的术语
风险管理 risk management
在风险(2.1)方面,指导和控制组织的协调活动。
风险管理框架 risk management framework
为设计、执行、监督(4.8.2.1)、评审和持续改进整个组织的风险管理(3.1)提供基础和组织安排的要素集合。
注 1:基础包括管理风险(2.1)的方针、目标、授权和承诺。
注 2:组织安排包括计划、关系、责任、资源、过程和活动。
注 3:风险管理框架是嵌入到组织的整体战略、运营政策以及实践当中的。
风险管理方针 risk management policy
组织在风险管理(3.1)方面的总体意图和方向的表述。
风险管理计划 risk management plan
风险管理框架(3.1.1)中,详细说明用于管理风险(2.1)的方法、管理要素及资源方案。
注 1:管理要素通常包括程序、操作方法、职责分配、活动的顺序和时间安排。
注 2:风险管理计划可用于具体的产品、过程、项目以及组织的部分或整体。
与风险管理过程有关的术语
风险管理过程 risk management process
将管理政策、程序和操作方法系统地应用于沟通、咨询、明确环境以及识别、分析、评价、应对、监督(4.8.2.1)与评审风险(2.1)的活动中。
与沟通和咨询有关的术语
沟通和咨询
communication and consultation
组织管理风险(2.1)时,提供信息、共享信息、获取信息以及与利益相关者(4.2.1.1)展开对话的持续往复的过程。
注 1:信息可能涉及风险的存在、性质、形式、可能性(4.6.1.1)、重要性、评价、可接受性和应对等方面。
注 2:咨询是组织与其利益相关者在某一问题决策或确定方向之前所进行的充分的(informed)双向沟通。咨询是一个通过影响力而不是通过权力来影响决策的过程;咨询是对决策的输入,而不是共同决策。
利益相关者 stakeholder
可以影响、被影响或自认为会被某一决策或行动影响的个人或组织。
注:决策者可以是利益相关者。
风险感知 risk perception
利益相关者(4.2.1.1)对风险(2.1)的看法。
注:风险感知能够反映利益相关者的需求、观点、知识、信仰和价值观。
与环境有关的术语
明确环境 establishing the context
组织在管理风险,以及为风险管理方针(3.1.2)确定范围和风险准则(4.3.1.3)时,确定需要考虑的内外部参数的过程。
外部环境 external context
组织追求其目标实现时所处的外部状况。
注:外部环境可包括:国际、国内、区域或地方的文化、社会、政治、法律、法规、金融、技术、经济、自然以及竞争环境;对组织目标产生影响的关键驱动因素和趋势;
——国际、国内、区域或地方的文化、社会、政治、法律、法规、金融、技术、经济、自然以及竞争环境;
——对组织目标产生影响的关键驱动因素和趋势;
——与外部利益相关者(4.2.1.1)的关系以及他们的感知和价值观。
内部环境 internal context
组织追求其目标实现时所处的内部状况。
注:内部环境可包括:
——治理、组织结构、职能和责任;
——方针、目标,以及实现它们的战略;
——从资源和知识角度所理解的能力(如资本、时间、人力、过程、系统和技术);
——信息系统、信息流和决策过程(正式的和非正式的);
——与内部利益相关者(4.2.1.1)的关系,以及他们的感知和价值观;
——组织文化;
——组织采用的标准、指南和模型;
——合同关系的形式和范围。
风险准则 risk criteria
评价风险(2.1)重要性的依据。
注 1:风险准则的确定需要基于组织的目标、外部环境(4.3.1.1)和内部环境(4.3.1.2)。 注 2:风险准则可以源自标准、法律、政策和其他要求。
与风险评估有关的术语
风险评估 risk assessment
包括风险识别(4.5.1)风险分析(4.6.1)和风险评价(4.7.1)的全过程。
与风险识别有关的术语
风险识别 risk identification
发现、确认和描述风险(2.1)的过程。
注 1:风险识别包括对风险源(4.5.1.2)、事件(4.5.1.3)及其原因和潜在后果(4.6.1.3)的识别。
注 2:风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者(4.2.1.1)的需求。
风险描述 risk description
对风险所做的结构化的表述,通常包括四个要素:风险源(4.5.1.2)、事件(4.5.1.3)、原因和后果(4.6.1.3)。
风险源 risk source
可能单独或共同引发风险(2.1)的内在要素。
注:风险源可以是有形的,也可以是无形的。
事件 event
某一类情形的发生或变化。
注 1:事件可以是一个或多个情形,并且可以由多个原因导致。
注 2:事件可以包括没有发生的情形。
注 3:事件有时可称为”事故"。 注 4:没有造成后果(4.6.1.3)的事件还可称为“未遂事件””事故征候”“临近伤害”“幸免”。
危险 hazard
潜在伤害的来源。
注:危险可以是一类风险源(4.5.1.2)。
风险责任人 risk owner
具有管理风险(2.1)的责任和权力的个人或实体。
与风险分析有关的术语
风险分析 risk analysis
理解风险(2.1)性质、确定风险等级(4.6.1.8)的过程。
注 1:风险分析是风险评价(4.7.1)和风险应对(4.8.1)决策的基础。
注 2:风险分析包括风险估计。
可能性 likelihood
某件事发生的机会。
注 1:无论是以客观的或主观的、定性或定量的方式来定义、度景或确定,还是用一般词汇或数学术语来描述[如概率(4.6.1.4),或一定时间内的频率(4.6.1.5)]已在风险管理术语中,”可能性”一词都用来表示某事发生的机会。
注 2:“可能性”(likelihood)这一英语词汇在一些语言中没有直接与之对应的词汇,因此经常用“概率”(probability)这个词代替。不过,在英语中,“概率”常常被狭义地理解为一个数学词汇。因此,在风险管理术语中,“可能性”应该有着与许多语言中使用的“概率”一词相同的解释,而不局限于英语中“概率”一词的意义。
暴露 exposure
组织和/或利益相关者(4.2.1.1)受某事件(4.5.1.3)影响的程度。
后果 consequence
某事件(4.5.1.3)对目标影响的结果。
注 1:一个事件可以导致一系列后果。
注 2:后果可以是确定的,也可以是不确定的,对目标的影响可以是正面的,也可以是负面的。
注 3:后果可以定性或定拯表述。
注 4:通过连锁反应,最初的后果可能升级。
概率 probability
对事件发生机会的度量,用 0 到 1 之间的数字表示。 0 表示不可能发生,1 表示确定发生。
注:见 4.6.1.1 注 2。
频率 frequency
单位时间内事件(4.5.1.3)或结果的数量。
注:频率可以用于过去的事件(4.5.1.3)或潜在的未来事件,可用于测量可能性(4.6.1.l)/概率(4.6.1.4)。
脆弱性 vulnerability
易受风险源(4.5.1.2)影响的内在特性。
风险矩阵 risk matrix
通过确定后果(4.6.1.3)和可能性(4.6.1.1)的范围来排列显示风险(2.1)的工具。
风险等级 level of risk
单一风险(2.1)或组合风险的大小,以后果(4.6.1.3)和可能性(4.6.1.1)的组合来表达。
风险评价 risk evaluation
对比风险分析(4.6.1)结果和风险准则(4.3.1.3),以确定风险(2.1)和/或其大小是否可以接受或容忍的过程。
注:风险评价有助于风险应对(4.8.1)决策。
风险态度 risk attitude
组织评估风险进而寻求、保留、承担或规避风险(2.1)的方式。
风险偏好 risk appetite
组织寻求或保留风险(2.1)的意愿。
风险容忍 risk tolerance
组织或利益相关者(4.2.1.1)为实现目标在风险应对(4.8.1)之后承担风险(2.1)的意愿。
注:风险容忍会受到法律法规要求的影响。
风险厌恶 risk aversion
规避风险(2.1)的态度。
风险集成 risk aggregation
将多个风险综合为一个风险(2.1),以便更为全面地把握总体风险。
风险接受 risk acceptance
接受某一特定风险(2.1)的决定。
注 1:风险接受可以不经风险应对(4.8.1),还可以在风险应对过程中发生。
注 2:接受的风险要受到监督(4.8.2.1)和评审(4.8.2.2)。
风险应对 risk treatment
处理风险(2.1)的过程。
注 1:风险应对可以包括:
——不开始或不再继续导致风险的行动,以规避风险;
——为寻求机会而承担或增加风险;
——消除风险源(4.5.1.2);
——改变可能性(4.6.1.1);
——改变后果(4.6.1.3);
——与其他各方分担风险[包括合同和风险融资(4.8.1.4)];
——慎重考虑后决定保留风险。
注 2:针对负面后果的风险应对有时指“风险缓解”“风险消除”“风险预防”“风险降低”等。
注 3:风险应对可能产生新的风险或改变现有风险。
控制 control
处理风险(2.1)的措施。
注 1:控制包括处理风险的任何流程、策略、设施、操作或其他行动。
注 2:控制并非总能取得预期效果。
风险规避 risk avoidance
决定不参与或退出某一活动,以避免暴露于特定风险(2.1)。
注:风险规避可依据风险评价(4.7.1)的结果和/或法律法规。
风险分担 risk sharing
涉及与其他各方就风险(2.1)分配达成协议的风险应对(4.8.1)形式。
注 1:法律法规可能会限制、禁止或强制进行风险分担。
注 2:风险分担可以通过保险或其他合同形式实现。
注 3:风险分配程度取决于分担方案的可信性和透明度。
注 4:风险转移是风险分担的一种形式。
风险融资 risk financing
为面对或处理一旦发生的财务后果(4.6.1.3)而做出应急资金安排的风险应对(4.8.1)形式。
风险自留 risk retention
接受某一特定风险(2.1)的潜在收益或损失。
注 1:风险自留包括接受剩余风险(4.8.1.6)。
注 2:自留风险的风险等级(4.6.1.8)取决于风险准则(4.3.1.3)。
剩余风险 residual risk
风险应对(4.8.1)之后仍然存在的风险(2.1)。
注 1:剩余风险可包括未识别的风险。
注 2:剩余风险还被称为"留存的风险”。
恢复力 resilience
组织对复杂变化环境的适应能力。
监督 monitoring
持续地检查、监视、密切观察或确认风险状态,以识别与要求或期望绩效的偏离。
注:监督可用于风险管理框架(3.1.1)、风险管理过程(4.1)、风险(2.1)或控制(4.8.1.1)。
评审 review
为实现既定目标而进行的决定某一事项的适宜性、充分性和有效性的活动。
注:评审可用于风险管理框架(3.1.1)、风险管理过程(4.1)、风险(2.1)或控制(4.8.1.1)。
风险报告 risk reporting
告知内部或外部利益相关者(4.2.1.1)风险(2.1)现状和风险管理方面信息的沟通方式。
风险登记 risk register
已识别风险(2.1)的信息记录。
注:有时用“风险日志”代替“风险登记”。
风险概况 risk profile
对一组风险(2.1)的描述。
注:一组风险可能包含整个组织、组织的一部分或其他相关方面的风险。
风险管理审核 risk management audit
为获得证据,进行客观评价,以确定风险管理框架(3.1.1)或其一部分的充分性和有效性而进行的系统的、独立的、文件化的过程。
原文始发于微信公众号(大学生网络安全尖锋训练营):【干货】GB/T 23694-2013 风险管理术语
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论