零风险（zero risks）

-ISO 31000

在风险管理社区中，人们普遍认为无法消除风险，并且“没有风险”是不可能的，因为我们可以管理已识别的风险（已知未知数-known unknowns），但是无法管理意外事件（未知未知数-unknown unknowns）。但是，高级管理层和董事会更倾向于“毫不意外”并且将“没有风险”作为最终目标并不罕见。在这种情况下，需要意识，培训和沟通。

上下文，利益相关者和标準(Context, Stakeholders, and Criteria)
“零风险(zero risks)”策略是不现实的。应将风险偏好或“组织準备追求，保留或承担的风险的数量和类型”告知CISO。邀请高层管理团队和董事会的反馈可以确定风险承受能力。然后可以进一步定义可接受的残留风险级别。

明智的决定(Informed Decisions)
明智的决定是必要的。在信息不足（例如风险偏好）不足的情况下批准或拒绝该策略不是一个好习惯。批准策略后，将发布用于启动信息安全程序的程序策略。

风险偏好(Risk Appetite)
风险承受能力是组织在为降低风险而必须採取的行动之前，为实现其目标而準备接受的风险水平。它代表了创新的潜在利益与不可避免地带来的威胁之间的平衡。ISO 31000风险管理标準将风险偏好称为“组织準备追求，保留或承担的风险的数量和类型”。此概念有助于指导组织的风险管理方法。
资料来源：维基百科

参考
.风险偏好

资料来源： Wentz Wu QOTD-20201215