標籤: 暫無標籤

風險評估(Risk Assessment) 是指,在風險事件發生之前或之後(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

1介紹

注意事項
風險評估過程注意事項
在風險評估過程中,有幾個關鍵的問題需要考慮。
首先,要確定保護的對象(或者資產)是什麼?它的直接和間接價值如何?
其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
第三,資產中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?
第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
解決以上問題的過程,就是風險評估的過程。
進行風險評估時,有幾個對應關係必須考慮:
每項資產可能面臨多種威脅
威脅源(威脅代理)可能不止一個
每種威脅可能利用一個或多個弱點
任務
風險評估的主要任務包括:
識別評估對象面臨的各種風險
評估風險概率和可能帶來的負面影響
確定組織承受風險的能力
確定風險消減和控制的優先等級
推薦風險消減對策

2三種可行途徑

在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。
風險評估的操作範圍可以是整個組織,也可以是組織中的某一部門,或者獨立的信息系統、特定系統組件和服務。影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。
詳細
詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想,即識別資產的風險並將風險降低到可接受的水平,以此證明管理者所採用的安全控制措施是恰當的。
詳細評估的優點在於:
1、組織可以通過詳細的風險評估而對信息安全風險有一個精確的認識,並且準確定義出組織的安全水平和安全需求;
2、詳細評估的結果可用來管理安全變化。當然,詳細的風險評估可能是非常耗費資源的過程,包括時間、精力和技術,因此,組織應該仔細設定待評估的信息系統範圍,明確商務環境、操作和信息資產的邊界。
方法
在風險評估過程中,可以採用多種操作方法,包括基於知識(Knowledge-based)的分析方法、基於模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,無論何種方法,共同的目標都是找出組織信息資產面臨的風險及其影響,以及安全水平與組織安全需求之間的差距。
基於知識的分析方法
在基線風險評估時,組織可以採用基於知識的分析方法來找出安全狀況和基線安全標準之間的差距。
基於知識的分析方法又稱作經驗方法,它牽涉到對來自類似組織(包括規模、商務目標和市場等)的「最佳慣例」的重用,適合一般性的信息安全社團。採用基於知識的分析方法,組織不需要付出很多精力、時間和資源,只要通過多種途徑採集相關信息,識別組織的風險所在和當前的安全措施,與特定的標準或最佳慣例進行比較,從中找出不符合的地方,並按照標準或最佳慣例的推薦選擇安全措施,最終達到消減和控制風險的目的。

項目建議書格式

風險評估項目建議書
任務名稱



建議單位及地址

聯繫人及
聯繫方式

建議評估模式*
非應急評估( ) 應急評估 ( )


風險來源和性質
風險名稱


進入食物鏈方式



污染的食物種類



在食物中的含量



風險涉及範圍



相關檢驗數據和結論



已經發生的健康影響



國內外已有的管理措施



其他有關信息和資料
(包括信息來源、獲得時間、核實情況)


*建議採用應急評估應當提供背景情況和理由。
建議單位:(簽章) 日期:

相關評論

同義詞:暫無同義詞