風險評估

出自 MBA智库百科(http://wiki.mbalib.com/)

風險評估(Risk Assessment)

目錄

風險評估的定義

  風險評估(Risk Assessment)是指在風險事件發生之後,對於風險事件給人們的生活、生命、財產等各個方面造成的影響和損失進行量化評估的工作。

風險評估的內容

  (1)對風險本身的界定。包括風險發生的可能性;風險強度;風險持續時間;風險發生的區域及關鍵風險點。

  (2)對風險作用方式的界定。包括風險對企業的影響是直接的還是間接的;是否會引發其他的相關風險;風險對企業的作用範圍等。

  (3)對風險後果的界定。在損失方面:如果風險發生,對企業會造成多大的損失?如果避免或減少風險,企業需要付出多大的代價?在冒風險的利益方面:如果企業冒了風險,可能獲得多大的利益?如果避免或減少風險,企業得到的利益又是多少?

風險評估任務

  風險評估的主要任務包括:

  • 識別組織面臨的各種風險
  • 評估風險概率和可能帶來的負面影響
  • 確定組織承受風險的能力
  • 確定風險消減和控制的優先等級
  • 推薦風險消減對策

風險評估過程註意事項

  在風險評估過程中,有幾個關鍵的問題需要考慮。

  首先,要確定保護的對象(或者資產)是什麼?它的直接和間接價值如何?

  其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?

  第三,資產中存在哪裡弱點可能會被威脅所利用?利用的容易程度又如何?

  第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?

  最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度?

  解決以上問題的過程,就是風險評估的過程。

  進行風險評估時,有幾個對應關係必須考慮:

  • 每項資產可能面臨多種威脅
  • 威脅源(威脅代理)可能不止一個
  • 每種威脅可能利用一個或多個弱點

風險評估的三種可行途徑

  在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。

  風險評估的操作範圍可以是整個組織,也可以是組織中的某一部門,或者獨立的信息系統、特定系統組件和服務。影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。目前,實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

基線評估

  如果組織的商業運作不是很複雜,並且組織對信息處理和網路的依賴程度不是很高,或者組織信息系統多採用普遍且標準化的模式,基線風險評估Baseline Risk Assessment)就可以直接而簡單地實現基本的安全水平,並且滿足組織及其商業環境的所有要求。

  採用基線風險評估,組織根據自己的實際情況(所在行業、業務環境與性質等),對信息系統進行安全基線檢查(拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距),得出基本的安全需求,通過選擇並實施標準的安全措施來消減和控制風險。所謂的安全基線,是在諸多標準規範中規定的一組安全控制措施或者慣例,這些措施和慣例適用於特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到一定的安全防護水平。組織可以根據以下資源來選擇安全基線:

  當然,如果環境和商務目標較為典型,組織也可以自行建立基線。

  基線評估的優點是需要的資源少,周期短,操作簡單,對於環境相似且安全需求相當的諸多組織,基線評估顯然是最經濟有效的風險評估途徑。當然,基線評估也有其難以避免的缺點,比如基線水平的高低難以設定,如果過高,可能導致資源浪費和限制過度,如果過低,可能難以達到充分的安全,此外,在管理安全相關的變化方面,基線評估比較困難。

  基線評估的目標是建立一套滿足信息安全基本目標的最小的對策集合,它可以在全組織範圍內實行,如果有特殊需要,應該在此基礎上,對特定系統進行更詳細的評估。

詳細評估

  詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想,即識別資產的風險並將風險降低到可接受的水平,以此證明管理者所採用的安全控制措施是恰當的。

  詳細評估的優點在於:

  1、組織可以通過詳細的風險評估而對信息安全風險有一個精確的認識,並且準確定義出組織目前的安全水平和安全需求;

  2、詳細評估的結果可用來管理安全變化。當然,詳細的風險評估可能是非常耗費資源的過程,包括時間、精力和技術,因此,組織應該仔細設定待評估的信息系統範圍,明確商務環境、操作和信息資產的邊界。

組合評估

  基線風險評估耗費資源少、周期短、操作簡單,但不夠準確,適合一般環境的評估;詳細風險評估準確而細緻,但耗費資源較多,適合嚴格限定邊界的較小範圍內的評估。基於次實踐當中,組織多是採用二者結合的組合評估方式。

  為了決定選擇哪種風險評估途徑,組織首先對所有的系統進行一次初步的高級風險評估,著眼於信息系統的商務價值和可能面臨的風險,識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產(或系統),這些資產或系統應該劃入詳細風險評估的範圍,而其他系統則可以通過基線風險評估直接選擇安全措施。

  這種評估途徑將基線和詳細風險評估的優勢結合起來,既節省了評估所耗費的資源,又能確保獲得一個全面系統的評估結果,而且,組織的資源和資金能夠應用到最能發揮作用的地方,具有高風險的信息系統能夠被預先關註。當然,組合評估也有缺點:如果初步的高級風險評估不夠準確,某些本來需要詳細評估的系統也許會被忽略,最終導致結果失準。

風險評估的常用方法

  在風險評估過程中,可以採用多種操作方法,包括基於知識(Knowledge-based)的分析方法基於模型(Model-based)的分析方法定性(Qualitative)分析定量(Quantitative)分析,無論何種方法,共同的目標都是找出組織信息資產面臨的風險及其影響,以及目前安全水平與組織安全需求之間的差距。

基於知識的分析方法

  在基線風險評估時,組織可以採用基於知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。

  基於知識的分析方法又稱作經驗方法,它牽涉到對來自類似組織(包括規模、商務目標和市場等)的“最佳慣例”的重用,適合一般性的信息安全社團。採用基於知識的分析方法,組織不需要付出很多精力、時間和資源,只要通過多種途徑採集相關信息,識別組織的風險所在和當前的安全措施,與特定的標準或最佳慣例進行比較,從中找出不符合的地方,並按照標準或最佳慣例的推薦選擇安全措施,最終達到消減和控制風險的目的。

本條目對我有幫助107
分享到:
  如果您認為本條目還有待完善,需要補充新內容或修改錯誤內容,請編輯條目

本条目由以下用户参与贡献

山林,Lolo,Dan,Xing er,Vulture,Angle Roh,Cabbage,鲈鱼,武梅.

評論(共3條)

提示:評論內容為網友針對條目"風險評估"展開的討論,與本站觀點立場無關。
119.145.72.* 在 2013年10月8日 22:54 發表

窮你老媽跟全世界人愛愛。如果沒有錢,就發個賬號來。

回複評論
119.145.72.* 在 2013年10月8日 22:55 發表

請大家不要點擊,讓這個變態佬窮死。

回複評論
140.127.166.* 在 2013年12月12日 14:55 發表

廢物被戳痛處囉

回複評論

發表評論請文明上網,理性發言並遵守有關規定。

返回顶部