在51CTO安全頻道特別策劃的系列的上一篇文章《》里，J0ker給大家介紹了信息安全管理要實現的A-I-C目標和原則。在接下去的文章，J0ker將帶大家逐步深入信息安全管理的領域，并結合實際例子給大家解釋該CISSP CBK中提到的諸多關鍵名詞。本文將介紹Information Security Management  CBK中的風險評估（Risk Analysis and Assessment）。

我們經常可以從媒體或者各種安全資訊上看到一個詞——風險（Risk），但具體到它的含義，以及它在信息技術領域所代表的意思，卻沒有太多的人可以說的清楚。所謂“風險中存在機遇“，人們在選擇機會的同時，也會遇到許多會造成損失的不確定因素，這些不確定的因素便稱之為”風險“。例如，買車能帶來出行方便，但同時也會因為燃料費上漲、路費、維修等等不確定的因素導致意外的支出，而且盡管幾率很小，也依然存在發生交通事故危害生命的情況。

因此，我們在選擇一個機會之前，常常會或多或少的考慮機會之中包含著的不確定因素有哪些，更進一步的，我們還會想辦法去了解機會之中的不確定因素到底有多大的可能發生，并準備一些可以降低發生幾率或損失的措施。同時為了更有效的準備和評估應對不確定因素的防御措施，我們還必須認真的了解不確定因素的各個組成元素，并搞清楚它們之間的關系，這個不確定因素的識別、分析和評估的過程，便是本文要介紹的風險分析和評估（Risk Analysis and Assessment）。

進行過風險分析和評估之后，接下去自然就是如何應對風險——在CISSP CBK中，風險的應對方式可以分成三種，J0ker還是用上面買車的例子來介紹：假設買了車之后，在路上發生追尾事故的可能性為每三個月一次，如果車主采取了在交通繁忙時刻降低車速，選擇另外車流量較小的道路或者在車上添置防追尾的設備，這都屬于車主接受了風險存在的事實，并采取的降低風險發生可能性或損失的措施，我們稱之為Accept the Risk或Mitigate the Risk；如果車主認為部署防追尾的設備成本比追尾后修一次車還貴的多，或者因為其他原因而無視追尾危險，這樣稱之為Reject the Risk，或Ignore the Risk，風險并沒有減輕，只是被忽略了。還有一種較為常見的情況是車主通過購買保險，將追尾可能產生的各種費用轉移到保險公司身上，這稱之為Transfer the Risk，即風險轉移。Accept和Transfer是對待風險的常用方式，但在某些不太重要的場合，也可以選擇用不作為的方式。

風險的識別、分析和評估、消除、轉移整個流程我們稱之為風險管理（Risk Management），在進行風險管理的流程時，以下的關鍵的問題需要弄清楚：
1、 What could happen （Threat event，風險的具體形式，威脅）
2、 If it happened, how bad could it be （Threat impact，威脅的影響程度）
3、 How often it could happen （Threat frequency， 威脅發生的頻率）
4、 How certain are the answers to the first three questions （Recognition of uncertainty， 威脅發生的幾率和不確定性）
這些問題都可以從風險分析和評估中獲得答案，威脅發生的不確定性是風險管理中的核心問題，當然，誰都希望為所有可能發生的情況做好充分的準備，但現實常常不允許我們這樣考慮，我們只能夠保證優先度最高的部位和風險最有可能發生的部位能部署到風險管理方案。通過風險分析和評估，我們可以從上述4個問題中發現一些無法忽視的風險(Unacceptable Risks)，我們需要部署相應的方案來應對它們，以下的問題需要了解清楚：
1、 What can be done（Risk Mitigation，風險消除方案）
2、 How much will it cost （annualized，方案每年平均成本）
3、 Is it cost effective （Cost/Benefit Analysis，費效比分析）
上述問題的解答將最終決定一個實體對風險對象的最終解決方案，并執行管理層批準、財務提供預算、采購、部署、維護等流程進行實施。對于IT領域，風險管理則更進一步的細化為Information Risk Management（IRM），因為IT技術不斷的發展，IRM也是一個沒有結束期，需要持續關注的行為。

在進行下面的內容之前，J0ker打算先向大家列出幾個關鍵的名詞：
SLE：Single Loss Expectancy，風險發生時的單個對象的損失
ARO：Annualized rate of Occurrence，一年內風險發生的幾率
ALE：Annualized Loss Expectancy，風險發生時每年平均損失，ALE=SLE×ARO，即如果一個對象遭遇風險時損失(SLE)是10萬元，每年發生該風險的幾率(ARO)是1/100，那每年平均損失就是100000×0.01=1000
Information Asset：信息資產，對組織運作起關鍵作用的信息相關實體，比如客戶資料、交易情況等等，信息資產的價值由許多元素組成，包括最基本的信息本身的價值、信息處理支持軟件的價值、信息的Availability、Confidentiality、Integrity屬性、信息處理所需的硬件設備也可認為屬于信息資產，信息資產的價值還可以根據損失它后會對組織造成信息本身價值之外的損失的大小來進行評估。
Qualitative/Quantitative：質化/量化，對于信息資產價值的評估，通常可以采用量化和質化的方式，對于能直接算出資產價值的對象，如設備、軟件等，可以用量化的方式，直接算出它的價值。對于另外一些無法量化的對象，如數據、業務流程等，則可以使用質化的方式，請使用該對象的人員，用分級的方式評估該資產的價值，J0ker覺得簡單的五分法可以應付一般的任務， 將信息資產按其對組織運營的重要程度，分為非常重要、重要、比較重要、一般、不重要五個級別，并對應1-5分，分值越高，信息資產的重要程度也越高。
Risk：風險，潛在的損失或傷害，請參考本文前面的內容
Threat：威脅，有可能造成風險的因素，比如各種惡意軟件、自然災害等
Safeguard：風險防御措施，通常也稱為Control，風險控制措施
Vulnerability：漏洞，風險防御措施的缺失或弱點，通常出現漏洞就意味著風險發生的頻率更高和風險發生時損失更大。比如沒有安裝反病毒軟件便可認為是一個漏洞，會使惡意軟件攻擊的發生幾率和損失更大。
信息風險管理是一個復雜的流程，它需要根據每個組織不同的信息資產和業務流程情況，并綜合企業管理、經營預算、員工行為等來進行制定并執行。如果大家有興趣進一步深入IRM的領域，請參考CISSP Official Guide、All in One或其他CISSP參考書。

下篇預告：《復習-ISM(3)》，J0ker將向大家介紹Information Security Management的基礎——信息分級，Information Classification。