GB/T23694-2013 (IDT ISO/IEC Guide 73:2009)风险 risk 不确定性对目标的影响。影响是指偏离预期,可以是正面的和/或负面的,目标可以是不同方面(如财务、健康与安全、环境等),可以体现在不同的层次(如战略、组织范围、项目、产品和过程)。不确定性起源于人类的无知,我们缺乏足够的信息去推测事件的发生及其后果。
风险无一例外强调可能性和影响,这也是计算其大小的主要依据。在信息安全风险评估的初级阶段,我们无法精确的预测事件发生的概率,也没有其发生后其损失的精确数字,因此,把风险用纯定量数据来表征是不现实的。事实上,目前我们一般都是定性的描述风险,至少在信息安全领域是这样的。
风险的含义:
1)风险是客观存在的;
2)风险和不确定性、随机性紧密相连,但不等同;
3)风险强调的是损害的潜在可能性,而不是事实上的损害;
4)风险不能消除至尽,包括人为因素带来的风险,也一样不能消除至尽;
5)衡量风险的两个基本要素就是事件及其后果;
6)对信息安全而言,导致风险的事件是威胁利用了资产(或系统)的脆弱点。
信息安全是围绕风险展开。