1、如何理解风险管理的概念？

在企业风险管理框架中，风险定义为任何可能影响某一组织实现其目标的事项。风险的范围可能是财务、合法性、符合性、运维、市场、战略、信息、技术、人员、声誉等方面。风险包括恶性事件带来的威胁、尚不能确定后果的事件、可转化为机会的事件。风险管理是发现和了解组织中风险的各个方面, 并且付诸明智的行动帮助组织实现战略目标, 减少失败的可能并降低不确定的经营结果的整个过程。信息安全风险评估（本文以下简称“风险评估”），则是指依据国家、国际有关信息技术、安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估活动过程，它要评估信息系统的脆弱性、信息系统面临的威胁，以及脆弱性被威胁源利用后所产生的实际负面影响等，并根据安全事件发生的可能性和负面影响的程度，来识别信息系统的安全风险。

信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。企业风险管理使管理当局能够有效的应对不确定性以及由此带来的风险和机会。

2、如何在一个组织的网络中识别出风险所在？

王红阳:风险评估遵循了ISO17799、ISO13335、ISO15408（GB/T18336）、SSE-CMM等一系列的国际和国内标准，这些标准提供了评估过程、评估方法、评估模型、评估内容等多方面的规范化指导，同时在评估算法、评估操作等方面参考了AS/NZS4360，GAO/AIMD-00-33， GAO/AIMD-98-68， BSI PD3000 等美国、澳大利亚、新西兰的标准和规范。

风险评估的过程就是对信息系统所面临的各种风险发生的可能性和风险发生后的严重性进行评价，即在国际、国内等相关标准和规范的指导下对信息系统的资产、威胁、脆弱性三要素进行详细具体的评估。

风险评估包含了（但不仅限于）以下一系列的技术评估手段和管理评估手段：

·安全扫描:通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。

·人工检查:通过人工方式直接操作评估对象来获取所需要的安全配置信息，主要解决远程无法通过工具软件或设备获得的信息，以及为避免评估意外事件而采取的方法。

·IDS取样分析:通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析。

·渗透测试:在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法。

·应用安全评估:对用户业务应用软件进行安全功能审核、渗透测试、源代码审核等。

·安全管理审计:通过文档审核、策略审核、问卷调查、顾问访谈等形式，对信息安全策略、组织信息安全、资产管理、人力资源安全、物理和环境的安全、日常运作和通讯、访问控制、系统的获得、开发与维护、信息安全事件管理、业务持续性管理、符合性等方面进行综合评估。

3、信息资产风险管理的内容包括什么？通过怎样的策略和方案可以达到风险管理的目的？

信息安全风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能存在的危害，以便为系统最终安全需求的提出提供依据。同时，也是为了分析网络信息系统安全需求，找出目前的安全策略和实际需求的差距，为保护信息系统安全提供科学依据。进而通过合理步骤，制定出适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。

信息安全风险评估是一个组织机构实现信息系统安全必要的、重要的步骤，可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过信息安全风险评估，他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点；哪些威胁出现的可能性较大，造成的影响也较大，哪些威胁出现的可能性较小，造成的影响可以忽略不计；通过保护哪些资产，防止哪些威胁出现，如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的支持;更进一步，还会分析出信息系统的风险是如何随时间变化的，将来应如何面对这些风险，这需要建立一个晚上的体系。

信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。“三分技术，七分管理”。当前阶段，很多组织已经越来越意识到真正达到信息安全的目标仅仅通过安全产品是不能实现的，结合安全产品的信息安全管理体系（ISMS）的搭建才能实现信息系统的整体安全保障。通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全。ISMS的基本组成部分可以分为四层金字塔结构，最上层是总体方针，第二层是安全组织体系，第三层是涵盖物理、网络、系统、应用、数据等方面的统一安全策略，第四层是可操作的安全管理制度、操作规范和流程。安全组织体系建立健全了组织信息系统的安全管理责任制。它明确定义了组织内部信息安全管理组织体系，以便在整个组织体系范围内执行信息安全的管理工作。

安全策略体系分别从物理安全、网络安全、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、口令管理、安全审计、系统开发、第三方安全等方面提出了规范的安全策略要求，对安全管理工作具有实际的指导作用。