风险曝险（Risk exposure ）

-什麽是风险？

ISO/IEC/IEEE 24765:2017 系统和软件工程 — 词汇

1. 风险给个人、项目或组织带来的潜在损失
   [ISO/IEC 16085:2006 系统和软件工程 — 生命周期过程 — 风险管理，3.10 ]
2. 风险发生的可能性及其发生的後果程度的函数
   [ISO/IEC 16085:2006 系统和软件工程——生命周期过程——风险管理，3.10]
3. 概率乘以潜在损失的乘积对於风险因素
   注 1：风险暴露通常被定义为概率和後果大小的乘积，即预期值或预期暴露。

风险曝险是风险的度量。它考虑了风险的不确定性和影响部分。风险是指不确定性对目标的影响。不确定性和影响可以定量和定性测量。风险曝险也是如此。风险分析是确定风险暴露以优先考虑风险并为风险评估决策和风险处理提供信息的过程。

风险评估/分析（Risk Assessment/Analysis）
在 NIST 指南、CISSP 考试大纲和 CISSP 学习指南中，风险评监和风险分析通常被视为同义词。但是，在 ISO 31000 和 ISO 27005 等 ISO 标准中并非如此；风险分析是风险评估的一部分。
维护成本等风险会增加，系统可用性可能会受到影响，漏洞仍然存在且未修补的情况可能会发生。但是，我们需要进一步分析它们的可能性或可能性和影响，以确定风险曝险。因此，风险曝险是一个更普遍和更全面的概念，它提醒我们从更高的角度考虑风险的不确定性和影响部分。

NIST术语表（NIST Glossary）
暴露：风险的可能性和影响水平的组合。
固有风险：在管理层没有采取任何直接或重点行动来改变其严重性的情况下，实体面临的风险。
残余风险：采取安全措施後剩余的风险部分。

参考
. NIST术语表

资料来源： Wentz Wu QOTD-20210712
My Blog: https://choson.lifenet.com.tw/