：指体系、服务或网络的一种可辨认的状况的产生，或许是对信息安全策略的违背或防护办法的失效，或是与安全相关的一个从前不知道的状况。

　　信息安全事情（information security incident）：一个信息安全事情由单个的或一系列的有害或意外信息安全事态组成，它们具有危害事务运作和要挟信息安全的极大或许性。

　　信息安全危险（information security risk）：特定要挟运用单个或一组财物脆弱性的或许性以及由此或许给安排带来的危害。它以事态的或许性及其成果的组合来衡量。

　　危险剖析（risk analysis）：体系地运用信息来辨认危险来历和估量危险。

　　危险点评（risk evaluation）：将估量的危险与给定的危险原则加以比较以确认危险严重性的进程。

　　危险办理（risk management）：辅导和操控一个安排相关危险的和谐活动。危险办理一般包含危险点评、危险处理、危险承受和危险交流。

　　危险躲避（risk avoidance）：不卷进危险境况的决议或撤离危险境况的举动。

　　危险交流（risk communication）：决议计划者和其他利益相关者之间关于危险的信息交流或同享。

　　危险预算（risk estimation）：为危险的或许性和成果赋值的活动。

　　危险辨认（risk identification）：发现和列出危险要素并描绘其特征的活动。

　　危险下降（risk reduction）：为下降危险的或许性和（或）负面成果所采纳的举动。

　　危险保存（risk retention）：对来自特定危险的丢失或收益的承受。在信息安全危险的语境下，关于危险保存仅考虑负面成果（丢失）。

　　危险搬运（risk transfer）：与另一方对危险带来的丢失或收益的同享。在信息安全危险的语境下，关于危险搬运仅考虑负面成果（丢失）。

　　保密性（confidentiality）：数据所具有的特性，即表明数据所到达的未供给或未走漏给未授权的个人、进程或其他实体的程度。

　　完整性（integrity）：数据所具有的特性，即不管数据方法作何改动，数据的准确性和一致性均坚持不变。

　　可用性（availability）：数据或资源的特性，被授权实体按要求能拜访和运用数据或资源。

　　危险办理进程由语境树立、危险点评、危险处置、危险承受、危险交流和危险监督与评定组成，如图1所示。

　　危险办理进程能够迭代地进行危险点评和（或）危险处置活动。迭代办法进行危险点评可在每次迭代时添加点评的深度和细节。该迭代办法在最小化辨认操控办法所需的时刻和精力与保证高危险得到恰当点评之间，供给了一个杰出的平衡。

　　首要树立语境，然后进行。假如为有用地确认将危险下降至可承受水平所需举动，供给了满足的信息，那么就完毕该，接下来进行危险处置。假如供给的信息不行充沛，那么将在修订的语境（例如，危险点评原则、危险承受原则或影响原则）下进行该的另一次迭代，或许是在整个规模的有限部分上（见图1，危险决议计划点1）。

　　危险处置的有用性取决于该的成果。危险处置后的剩余危险或许不会当即到达一个可承受的水平。在这种状况下，假如必要的话，或许需要在改动的语境参数（如原则、危险承受原则或影响原则）下进行该的另一次迭代，以及随后的进一步危险处置（见图1，危险决议计划点2）。

　　危险承受活动须保证剩余危险被安排的办理者明确地承受。例如，在因为本钱而省掉或推延施行操控办法的状况下，这点特别重要。

　　在整个危险办理进程期间，重要的是将危险及其处置传达至恰当的办理者和运转人员。即使是危险处置前，已辨认的危险信息对办理事情或许是十分有价值的，并或许有助于削减潜在危害。办理者和职工的危险意识、缓解危险的现有操控办法的性质以及安排重视的范畴，这些均有助于以最有用的方法处理事情和意外状况。危险办理进程的每个活动以及来自两个危险决议计划点的具体成果均宜记录在案。回来搜狐，检查更多