SSE一CMM安全工程过程之风险过程
2018-03-12 16:49:25 | 来源:中培企业IT培训网
1.风险过程
系统安全工程的主要目标就是降低风险到可接受范围。安全工程中的风险三要素是影响、威胁和脆弱性。如果不存在脆弱性和威胁,则不存在有害事件,也就不存在风险。风险评估是调查和量化风险的过程。它是安全管理的一个重要部分。下图显示的是风险过程包括的过程区域。
注意:通常风险管理中的风险三要素是资产、威胁和脆弱性。与安全工程中的风险三要素并不矛盾, “影响”即指对“资产”安全的影响,资产越有价值,影响也就越大。
(一)安全措施的实施可以降低风险,但不可能消除所有威胁或根除某个具体威胁,必须接受残留的风险。在存在很大的不确定性盼隋况下,由于风险度量不精确的本质特征,因此通常情况下会出现纠结于在何种程度上接受风险才是恰当的。