103非预期的效果,原文为undesired effects。这是所有的风险管理的共同目标。对风险的理解经历过多次变化,包括了认为风险是中性词,ISO/IEC 27001:2013引用的风险词汇是ISO/IEC Guide73,其中对风险的理解特别加了备注,风险一般与负面的结果相联系,关于风险改变及其演变,可参考:赵战生,谢宗晓编著,《信息安全风险评估概念、方法和实践》,中国标准出版社。风险一个最重要的特征就是不确定性,因此对风险的管理一个很重要的目标就是“预防或减少不确定性( prevent,or reduce,undesired effects)”。此处要注意一个中文没能表达出来的情绪,就是“prevent,or reduce”,都是加了“,”而不是连在一起,也就是说还在强调并列,而不仅仅是选择。
104题外话一则,关于对确定性的追求。虽然在讨论风险偏好类型( risk appetite)时,有风险回避类型也有风险追求类型。但是从本质上来说,人类是厌恶不确定性的,即使一个疯狂的赌徒,也试图找到其中确定的因果关系,例如, 某天去赌场之前求财神了,结果就赢钱了,这位赌徒可能会误以为找到了确定的因果关系。