残余风险

目录

  • 1 什么是残余风险[1]
  • 2 残余风险的评价[2]
  • 3 残余风险与风险分析关系[3]
  • 4 参考文献

什么是残余风险

  残余风险是指在实现了新的或增强的安全控制后还剩下的风险,实际上任何系统都是有风险的,并且也不是所有安全控制都能完全消除风险。

  如果残余风险没有降低到可接受的级别,则必须重复风险管理过程,以找出一个将残余风险降低到可接受级别的方法。在进行了充分的风险评估后,得出如下结论。

  (1)没有必要采用所有的安全保护措施。因为这些措施要解决的风险可能并不存在,或者可以容忍和接受这些风险。

  (2)没有必要防范和加固所有的安全弱点。这些弱点可能因为成本知识文化及法律等方面的因素,而没有人能利用它们。

  (3)我们没有必要无限制地提高安全保护措施的强度。只需要将相应的风险降低到可接受的程度即可。供)对安全保护措施的选择还要考虑到成本和技术等因素的限制。

残余风险的评价

  对处于不可接受范围内的风险,应在选择适当的风险控制措施后,对残余风险进行评价,判定风险是否已达到可接受水平,以便为风险管理提供输入。

  对残余风险的评价可以依据组织的风险评估准则进行。若某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,则应通过管理层依据风险接受原则考虑是否接受此类风险或增加更多的风险控制措施。为确保所选择的风险控制措旌是有效的,必要时可进行再评估,以判断实施风险控制措施后的残余风险是否降到了可接受的水平。

残余风险与风险分析关系

  残余风险是风险分析的最后一步。完成风险分析并确定风险降低措施后,必须开展进一步的风险评估以保证风险已降至可接受水平。风险不可能彻底消除,零风险是不存在的,因此有一定的残余风险。

  通过对策措施,只是降低了已识别的风险。残余风险包括三个部分:

  (1)有意识接受的风险;

  (2)已识别但误判断的风险;

  (3)未识别风险。

  这样,一个严格且以高度负责的态度进行的风险分析应该能减少残余风险的后两个部分,这是风险分析团队的职责所在。很显然,风险分析是一项创造性的工作,它必须能够预测未来可能发生的事件,并给出避免事故发生的相关措施。因此,它是一项面向未来的挑战性很强的工作,需要具备杰出技能的工程技术人员的参与。

参考文献

  1. 林东岱,曹天杰等编著.企业信息系统安全——威胁与对策.电子工业出版社,2004年01月
  2. 王英梅,王胜开,陈国顺 程湘云编.信息安全风险评估.电子工业出版社,2007年06月.
  3. (瑞士)弗朗西斯·施特塞尔著.风险评估与工艺设计.科学出版社,2009.08.
阅读数:311