1.1 风险管理的作用
风险管理旨在检测出可能发生损失的情况或事件,并获取相应的风险应对方法。有以下几种应对风险的方式:
- 接受风险,即什么也不做,让它发生。众所周知,这是养虎为患。
- 防范风险,即采取措施防止风险发生。
- 降低风险,即采取相应的保护措施来减轻风险造成的后果。
在漏洞管理中,我们看到风险都是由信息系统、流程和策略中的缺陷导致的。下图显示了漏洞管理与风险管理项目之间的关系。可以看出,漏洞管理在风险管理项目中的作用,是为了在组织的控制或影响下,发现并化解由漏洞导致的风险。风险管理中有关事件概率分析(event probability analysis)和持续性管理(continuity management)等其他方面,与漏洞没有直接关联。
漏洞管理通常关注软件技术漏洞和系统配置漏洞。而需要风险管理师关注的是那些无法被自动检测到的,与企业策略、经济状况和环境条件等相关的漏洞。这些漏洞存在于业务流程、策略和供应链等各个环节。业务中的每一项活动或策略,只要存在设计缺陷或适应性缺陷,就能被利用。因此,风险管理师更为重要的任务就是发现和应对这些挑战。在本书中,我们将主要讨论第一种类型的漏洞,同时也会对第二种类型的漏洞予以关注。