信息安全風險管理是識別、評價各種信息安全風險因素帶來的損失風險,對風險進行控制,減輕風險可能帶來的負面影響,將損失降到最低。它是一個長期的、循環的和再管理過程。
ISO27001(2005)定義信息安全風險管理為“指導和控制組織風險的協同活動,包括風險評估、風險應對、風險承受和風險溝通”。
NIST SP800-30 中定義信息安全風險管理是“對信息系統的風險識別、風險評估,并采取一定的措施使風險減少至可承受程度”;。
Microsoft 安全風險管理指南定義是“確定可接受的風險、評估風險的當前程度、采取措施將風險降低到可接受水平以及維持風險程度的流程”。
Thomas Finne 定義為:“識別、評估和控制不確定性事件,并減少損失和提高安全投資收益。包括風險分析和風險評估”。
Mariana Gerber 定義為:“基于風險分析結果的風險計劃、風險監控和風險控制”。
范紅在《信息安全風險評估方法與應用》中,定義風險管理為;“以可接受的費用識別、控制、降低或消除可能影響信息系統安全風險的過程。通過風險評估來識別風險的大小,通過制定信息安全方針,采取適當的控制目標與控制方式對風險進行控制,使風險被避免、轉移或降至一個可被接受的水平”。該定義充分考慮費用與風險之間的平衡,全面反映了風險管理的全過程。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
