風險評估 | 風險評估
風險評估(Risk Assessment)風險評估(Risk Assessment)是指在風險事件發生之後,對於風險事件給人們的生活、生命、財產等各個方面造成的影響和損失 ...風險評估用手机看条目扫一扫,手机看条目出自MBA智库百科(https://wiki.mbalib.com/)風險評估(RiskAssessment)目錄1風險評估的定義2風險評估的內容3風險評估任務4風險評估過程註意事項5風險評估的三種可行途徑5.1基線評估5.2詳細評估5.3組合評估6風險評估的常用方法[編輯]風險評估的定義 風險評估(RiskAssessment)是指在風險事件發生之後,對於風險事件給人們的生活、生命、財產等各個方面造成的影響和損失進行量化評估的工作。
[編輯]風險評估的內容 (1)對風險本身的界定。
包括風險發生的可能性;風險強度;風險持續時間;風險發生的區域及關鍵風險點。
(2)對風險作用方式的界定。
包括風險對企業的影響是直接的還是間接的;是否會引發其他的相關風險;風險對企業的作用範圍等。
(3)對風險後果的界定。
在損失方面:如果風險發生,對企業會造成多大的損失?如果避免或減少風險,企業需要付出多大的代價?在冒風險的利益方面:如果企業冒了風險,可能獲得多大的利益?如果避免或減少風險,企業得到的利益又是多少?[編輯]風險評估任務 風險評估的主要任務包括:識別組織面臨的各種風險評估風險概率和可能帶來的負面影響確定組織承受風險的能力確定風險消減和控制的優先等級推薦風險消減對策[編輯]風險評估過程註意事項 在風險評估過程中,有幾個關鍵的問題需要考慮。
首先,要確定保護的對象(或者資產)是什麼?它的直接和間接價值如何? 其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大? 第三,資產中存在哪裡弱點可能會被威脅所利用?利用的容易程度又如何? 第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響? 最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度? 解決以上問題的過程,就是風險評估的過程。
進行風險評估時,有幾個對應關係必須考慮:每項資產可能面臨多種威脅威脅源(威脅代理)可能不止一個每種威脅可能利用一個或多個弱點[編輯]風險評估的三種可行途徑 在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。
所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。
風險評估的操作範圍可以是整個組織,也可以是組織中的某一部門,或者獨立的信息系統、特定系統組件和服務。
影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。
組織應該針對不同的情況來選擇恰當的風險評估途徑。
目前,實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。
[編輯]基線評估 如果組織的商業運作不是很複雜,並且組織對信息處理和網路的依賴程度不是很高,或者組織信息系統多採用普遍且標準化的模式,基線風險評估(BaselineRiskAssessment)就可以直接而簡單地實現基本的安全水平,並且滿足組織及其商業環境的所有要求。
採用基線風險評估,組織根據自己的實際情況(所在行業、業務環境與性質等),對信息系統進行安全基線檢查(拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距),得出基本的安全需求,通過選擇並實施標準的安全措施來消減和控制風險。
所謂的安全基線,是在諸多標準規範中規定的一組安全控制措施或者慣例,這些措施和慣例適用於特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到一定的安全防護水平。
組織可以根據以下資源來選擇安全基線:國際標準和國家標準,例如BS7799-1、ISO13335-4;行業標準或推薦,例如德國聯邦安全局IT基線保護手冊;來自其他有類似商務目標和規模的組織的慣例。
當然,如果環境和商務目標較為典型,組織也可以自行建立基線。
基線評估的優點是需要的資源少,周期短,操作簡單,對於環境相似且安全需求相當的諸多組織,基線評估顯然是最經濟有效的風險評估途徑。
當然,基線評估也有其難以避免的缺點,比如基線水平的高低難以設定,如果過高,可能導致資源浪費和限制過度,如果過低,可能難以達到充分的安全,此外,在管理安全相關的變化方面,基線評
[編輯]風險評估的內容 (1)對風險本身的界定。
包括風險發生的可能性;風險強度;風險持續時間;風險發生的區域及關鍵風險點。
(2)對風險作用方式的界定。
包括風險對企業的影響是直接的還是間接的;是否會引發其他的相關風險;風險對企業的作用範圍等。
(3)對風險後果的界定。
在損失方面:如果風險發生,對企業會造成多大的損失?如果避免或減少風險,企業需要付出多大的代價?在冒風險的利益方面:如果企業冒了風險,可能獲得多大的利益?如果避免或減少風險,企業得到的利益又是多少?[編輯]風險評估任務 風險評估的主要任務包括:識別組織面臨的各種風險評估風險概率和可能帶來的負面影響確定組織承受風險的能力確定風險消減和控制的優先等級推薦風險消減對策[編輯]風險評估過程註意事項 在風險評估過程中,有幾個關鍵的問題需要考慮。
首先,要確定保護的對象(或者資產)是什麼?它的直接和間接價值如何? 其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大? 第三,資產中存在哪裡弱點可能會被威脅所利用?利用的容易程度又如何? 第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響? 最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度? 解決以上問題的過程,就是風險評估的過程。
進行風險評估時,有幾個對應關係必須考慮:每項資產可能面臨多種威脅威脅源(威脅代理)可能不止一個每種威脅可能利用一個或多個弱點[編輯]風險評估的三種可行途徑 在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。
所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。
風險評估的操作範圍可以是整個組織,也可以是組織中的某一部門,或者獨立的信息系統、特定系統組件和服務。
影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。
組織應該針對不同的情況來選擇恰當的風險評估途徑。
目前,實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。
[編輯]基線評估 如果組織的商業運作不是很複雜,並且組織對信息處理和網路的依賴程度不是很高,或者組織信息系統多採用普遍且標準化的模式,基線風險評估(BaselineRiskAssessment)就可以直接而簡單地實現基本的安全水平,並且滿足組織及其商業環境的所有要求。
採用基線風險評估,組織根據自己的實際情況(所在行業、業務環境與性質等),對信息系統進行安全基線檢查(拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距),得出基本的安全需求,通過選擇並實施標準的安全措施來消減和控制風險。
所謂的安全基線,是在諸多標準規範中規定的一組安全控制措施或者慣例,這些措施和慣例適用於特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到一定的安全防護水平。
組織可以根據以下資源來選擇安全基線:國際標準和國家標準,例如BS7799-1、ISO13335-4;行業標準或推薦,例如德國聯邦安全局IT基線保護手冊;來自其他有類似商務目標和規模的組織的慣例。
當然,如果環境和商務目標較為典型,組織也可以自行建立基線。
基線評估的優點是需要的資源少,周期短,操作簡單,對於環境相似且安全需求相當的諸多組織,基線評估顯然是最經濟有效的風險評估途徑。
當然,基線評估也有其難以避免的缺點,比如基線水平的高低難以設定,如果過高,可能導致資源浪費和限制過度,如果過低,可能難以達到充分的安全,此外,在管理安全相關的變化方面,基線評