-什麼是風險?
ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙
- 風險給個人、項目或組織帶來的潛在損失
[ISO/IEC 16085:2006 系統和軟件工程 — 生命週期過程 — 風險管理,3.10 ] - 風險發生的可能性及其發生的後果程度的函數
[ISO/IEC 16085:2006 系統和軟件工程——生命週期過程——風險管理,3.10] - 概率乘以潛在損失的乘積對於風險因素
注 1:風險暴露通常被定義為概率和後果大小的乘積,即預期值或預期暴露。
風險曝險是風險的度量。它考慮了風險的不確定性和影響部分。風險是指不確定性對目標的影響。不確定性和影響可以定量和定性測量。風險曝險也是如此。風險分析是確定風險暴露以優先考慮風險並為風險評估決策和風險處理提供信息的過程。
風險評估/分析(Risk Assessment/Analysis)
在 NIST 指南、CISSP 考試大綱和 CISSP 學習指南中,風險評鑑和風險分析通常被視為同義詞。但是,在 ISO 31000 和 ISO 27005 等 ISO 標準中並非如此;風險分析是風險評估的一部分。
維護成本等風險會增加,系統可用性可能會受到影響,漏洞仍然存在且未修補的情況可能會發生。但是,我們需要進一步分析它們的可能性或可能性和影響,以確定風險曝險。因此,風險曝險是一個更普遍和更全面的概念,它提醒我們從更高的角度考慮風險的不確定性和影響部分。
NIST術語表(NIST Glossary)
暴露:風險的可能性和影響水平的組合。
固有風險:在管理層沒有採取任何直接或重點行動來改變其嚴重性的情況下,實體面臨的風險。
殘餘風險:採取安全措施後剩餘的風險部分。
參考
. NIST術語表
資料來源: Wentz Wu QOTD-20210712