固有风险
固有风险 是什么?
固有风险在任何控制或缓解措施实施之前,某项活动或资产所固有的风险水平,反映对威胁的原始暴露程度。
固有风险是风险分析的起点:假设不存在任何控制时,威胁情景的发生可能性与影响。它帮助相关方理解某项业务活动的天然暴露程度(例如在线接受信用卡支付或保管受监管的健康数据),并在不同业务组合之间进行比较。风险从业者据此衡量控制工作的投入规模,并评估现有控制的设计与运行是否能将残余风险降至偏好之下。ISO/IEC 27005 与 COSO ERM 等框架明确区分固有风险与残余风险,以免在两处重复计入同一控制的效益。
● 示例
- 01
在高流量电商平台上存储数百万张支付卡所固有的风险。
- 02
运营暴露于民族国家级攻击者面前的关键基础设施所固有的风险。
● 常见问题
固有风险 是什么?
在任何控制或缓解措施实施之前,某项活动或资产所固有的风险水平,反映对威胁的原始暴露程度。 它属于网络安全的 合规与框架 分类。
固有风险 是什么意思?
在任何控制或缓解措施实施之前,某项活动或资产所固有的风险水平,反映对威胁的原始暴露程度。
固有风险 是如何工作的?
固有风险是风险分析的起点:假设不存在任何控制时,威胁情景的发生可能性与影响。它帮助相关方理解某项业务活动的天然暴露程度(例如在线接受信用卡支付或保管受监管的健康数据),并在不同业务组合之间进行比较。风险从业者据此衡量控制工作的投入规模,并评估现有控制的设计与运行是否能将残余风险降至偏好之下。ISO/IEC 27005 与 COSO ERM 等框架明确区分固有风险与残余风险,以免在两处重复计入同一控制的效益。
如何防御 固有风险?
针对 固有风险 的防御通常结合技术控制与运营实践,详见上方完整定义。
固有风险 还有哪些其他名称?
常见的别称包括: 毛风险, 控制前风险。
● 相关术语
- compliance№ 923
残余风险
在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
- compliance№ 935
风险评估
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- compliance№ 888
定性风险分析
采用低/中/高或 1-5 等描述性等级来评估发生可能性与影响,而不使用货币或概率数值的风险分析方法。
- compliance№ 889
定量风险分析
用数字表达发生可能性与影响的风险分析方法,通常以概率和货币损失分布来支撑数据驱动的决策。