残余风险
残余风险 是什么?
残余风险在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
残余风险是固有风险经过现有或计划中的控制降低了发生可能性或影响之后剩下的部分。它是决策中最重要的数值,因为控制永远不可能完美,威胁也在持续演变。组织会将残余风险与其风险偏好和容忍度进行比较:超出限值的部分必须继续处置、上报或在文件化理由并指定责任人的前提下正式接受。残余风险会记录在风险登记册中并定期复审,特别是在控制失效、威胁变化或出现新依赖时。董事会和监管机构越来越要求对残余风险进行明确报告,以证明决策是经过充分论证的。
● 示例
- 01
在部署 MFA、培训和邮件过滤之后,因钓鱼导致泄露的残余风险。
- 02
对一个即将下线的遗留系统的残余风险进行书面接受。
● 常见问题
残余风险 是什么?
在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。 它属于网络安全的 合规与框架 分类。
残余风险 是什么意思?
在已规划的控制和处置措施实施之后仍然存在的风险,组织必须选择接受、转移或进一步处置。
残余风险 是如何工作的?
残余风险是固有风险经过现有或计划中的控制降低了发生可能性或影响之后剩下的部分。它是决策中最重要的数值,因为控制永远不可能完美,威胁也在持续演变。组织会将残余风险与其风险偏好和容忍度进行比较:超出限值的部分必须继续处置、上报或在文件化理由并指定责任人的前提下正式接受。残余风险会记录在风险登记册中并定期复审,特别是在控制失效、威胁变化或出现新依赖时。董事会和监管机构越来越要求对残余风险进行明确报告,以证明决策是经过充分论证的。
如何防御 残余风险?
针对 残余风险 的防御通常结合技术控制与运营实践,详见上方完整定义。
残余风险 还有哪些其他名称?
常见的别称包括: 净风险, 处置后风险。
● 相关术语
- compliance№ 534
固有风险
在任何控制或缓解措施实施之前,某项活动或资产所固有的风险水平,反映对威胁的原始暴露程度。
- compliance№ 939
风险处置
依据组织的风险准则,对风险作出修改性的决定与行动,通常包括接受、缓解、转移或规避。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 934
风险偏好
由董事会和高层确定的、组织为实现战略目标而愿意追求或承担的风险的总体数量与类型。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- compliance№ 733
NIST 风险管理框架
NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。
● 参见
- № 938风险容忍度