要实施风险评估,我们必须对其要素有准确的理解。该图显示了风险评估的要素及其关系。其中,方框部分的内容是风险评估的基本要素,椭圆形部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。
在图中,风险因素之间存在以下关系:
1.经营战略依靠资产来完成;
2.资产有价值。一个组织的经营战略越重要,对资产的依赖程度越高,资产的价值就越大;
3.资产价值越大,风险越大,这是由威胁引发的。威胁越大,风险越大,可能会演变成安全事件;
4.威胁需要利用漏洞,漏洞越大,风险越大;
5.漏洞暴露资产,这是一个未满足的安全需求。威胁通过利用漏洞危及资产,从而形成风险;
6.资产的重要性和对风险的认识会导致安全要求,这种要求应该通过有成本的安全措施来满足;
7.安全措施可以对抗威胁,降低风险,减少安全事件的影响;
8.把风险降低到零是不可能的,也是没有必要的,安全措施实施后还会有剩余风险。
部分剩余风险来自于不当或无效的安全措施,需要在未来持续控制。剩余风险的另一部分是综合考虑安全成本和资产价值后有意不控制的风险。这部分风险是可以接受的,应该密切监控,因为它可能会在未来诱发新的安全事件。
