GB/T 33132—2016 信息安全技術 信息安全風險處理實施指南3 術語和定義
GB/T 20984-2007、GB/Z 24363-2009中界定的,以及下列術語和定義適用于本標準。
3.1 風險處理 risk treatment
選擇并且執行措施來更改風險的過程。
[ISO/IEC Guide 73:2002]。
注:在本標準中,術語“控制措施”被用作“措施”的同義詞。
3.2 風險規避 risk avoidance
不卷入風險處境的決定或撤離風險處境的行動。
[ISO/IEC Guide 73:2002]。
3.3 風險轉移 risk transfer
與另一方對風險帶來的損失或收益的共享。
[ISO/IEC Guide 73:2002]。
注:在信息安全風險的語境下,對于風險轉移僅考慮負面結果(損失)。
3.4 風險降低 risk reduction
為降低風險的可能性和(或)負面結果所采取的行動。
[ISO/IEC Guide 73:2002]。
3.5 風險接受 risk retention
對來自特定風險的損失或收益的接受。
[ISO/IEC Guide 73:2002]。
注:在信息安全風險的語境下,對于風險接受僅考慮負面后果(損失)。
3.6 風險處理目標 risk treatment target
通過風險處理活動的實施所要達到的最終目標。
3.7 風險處理評價 risk treatment evaluation
將風險處理措施實施后的結果與風險處理目標進行比較、分析,以確定風險處理效果的過程。
推薦文章: