在最初的风险可能性中，“初始”意味着什么？

Question

我正在根据信息安全风险管理指南进行风险分析，在风险评估表中有一栏名为“风险情景的初始可能性”。风险情景的可能性和风险情景的初始可能性之间有什么区别？

Answer 1

如果没有关于你正在使用的风险评估方法的进一步信息，就不可能有明确的答案，但管理信息安全风险的一个共同方法是：

1. 识别:对资产的威胁或漏洞是通过任何适当的方法来识别的。
2. 评估:通过收集有关资产和威胁的信息，确定发生的可能性和潜在影响，以计算风险评分。
3. 治疗:采取措施减少威胁的可能性或影响，以减少风险。或者，风险被转移、接受或避免。
4. 重新评估和风险决策:定期对风险进行重新评估，以更新基于可能性和影响的风险评分，这可能由于环境和技术或组织的进步而发生变化。重新评估还可以改变风险决策(处理、转移、接受、避免)。

从这一观点来看，“最初”的可能性或影响是发现威胁的可能性或影响。进一步的风险处理可能会降低这些数值。

初始值通常保存在风险管理系统的业绩审查/ KPI报告中。