要实施风险评估,我们必须对其要素有准确的理解。该图显示了风险评估的要素及其关系。其中,方框的内容是风险评估的基本要素,椭圆的内容是与这些要素相关的属性,也是风险评估要素的一部分。
在图中,风险因素之间存在以下关系:
1.经营战略依靠资产来完成;
2.资产有价值。一个组织的经营战略越重要,对资产的依赖程度就越高,其价值也就越大;
3.资产的价值越大,由威胁引发的风险就越大。威胁越大,风险越大,有可能会演变成安全事件;
4.威胁需要利用漏洞,漏洞越大,风险越大;
5.漏洞暴露资产,这是一种未得到满足的安全需求。威胁利用漏洞损害资产,形成风险;
6.资产的重要性和风险意识会导致安全需求,要通过安全措施来满足,是有成本的;
7.安全措施可以对抗威胁,降低风险,减少安全事件的影响;
8.把风险降低到零是不可能的,也是没有必要的,安全措施落实后还会有剩余风险。
剩余风险的一部分来自于可能的不当或无效的安全措施,未来需要继续控制这部分风险。剩余风险的另一部分是综合考虑安全成本和资产价值后,有意不受控的风险。这部分风险是可以接受的,剩余风险要密切监控,因为它可能在未来诱发新的安全事件。