殘餘風險

用手机看条目

出自 MBA智库百科(https://wiki.mbalib.com/)

目錄

什麼是殘餘風險[1]

  殘餘風險是指在實現了新的或增強的安全控制後還剩下的風險,實際上任何系統都是有風險的,並且也不是所有安全控制都能完全消除風險。

  如果殘餘風險沒有降低到可接受的級別,則必須重覆風險管理過程,以找出一個將殘餘風險降低到可接受級別的方法。在進行了充分的風險評估後,得出如下結論。

  (1)沒有必要採用所有的安全保護措施。因為這些措施要解決的風險可能並不存在,或者可以容忍和接受這些風險。

  (2)沒有必要防範和加固所有的安全弱點。這些弱點可能因為成本知識文化及法律等方面的因素,而沒有人能利用它們。

  (3)我們沒有必要無限制地提高安全保護措施的強度。只需要將相應的風險降低到可接受的程度即可。供)對安全保護措施的選擇還要考慮到成本和技術等因素的限制。

殘餘風險的評價[2]

  對處於不可接受範圍內的風險,應在選擇適當的風險控制措施後,對殘餘風險進行評價,判定風險是否已達到可接受水平,以便為風險管理提供輸入。

  對殘餘風險的評價可以依據組織的風險評估準則進行。若某些風險可能在選擇了適當的控制措施後仍處於不可接受的風險範圍內,則應通過管理層依據風險接受原則考慮是否接受此類風險或增加更多的風險控制措施。為確保所選擇的風險控制措旌是有效的,必要時可進行再評估,以判斷實施風險控制措施後的殘餘風險是否降到了可接受的水平。

殘餘風險與風險分析關係[3]

  殘餘風險是風險分析的最後一步。完成風險分析並確定風險降低措施後,必須開展進一步的風險評估以保證風險已降至可接受水平。風險不可能徹底消除,零風險是不存在的,因此有一定的殘餘風險。

  通過對策措施,只是降低了已識別的風險。殘餘風險包括三個部分:

  (1)有意識接受的風險;

  (2)已識別但誤判斷的風險;

  (3)未識別風險。

  這樣,一個嚴格且以高度負責的態度進行的風險分析應該能減少殘餘風險的後兩個部分,這是風險分析團隊的職責所在。很顯然,風險分析是一項創造性的工作,它必須能夠預測未來可能發生的事件,並給出避免事故發生的相關措施。因此,它是一項面向未來的挑戰性很強的工作,需要具備傑出技能的工程技術人員的參與。

參考文獻

  1. 林東岱,曹天傑等編著.企業信息系統安全——威脅與對策.電子工業出版社,2004年01月
  2. 王英梅,王勝開,陳國順 程湘雲編.信息安全風險評估.電子工業出版社,2007年06月.
  3. (瑞士)弗朗西斯·施特塞爾著.風險評估與工藝設計.科學出版社,2009.08.
本條目對我有幫助4
MBA智库APP

扫一扫,下载MBA智库APP

分享到:
  如果您認為本條目還有待完善,需要補充新內容或修改錯誤內容,請編輯條目

本条目由以下用户参与贡献

jane409.

評論(共0條)

提示:評論內容為網友針對條目"殘餘風險"展開的討論,與本站觀點立場無關。

發表評論請文明上網,理性發言並遵守有關規定。

打开APP

以上内容根据网友推荐自动排序生成

闽公网安备 35020302032707号