登錄

風(fēng)險評估

百科 > 風(fēng)險術(shù)語 > 風(fēng)險評估

1.風(fēng)險評估的定義

風(fēng)險評估(Risk Assessment)是指在風(fēng)險事件發(fā)生之后,對于風(fēng)險事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失進(jìn)行量化評估的工作。

2.風(fēng)險評估的內(nèi)容

(1)對風(fēng)險本身的界定。包括風(fēng)險發(fā)生的可能性;風(fēng)險強(qiáng)度;風(fēng)險持續(xù)時間;風(fēng)險發(fā)生的區(qū)域及關(guān)鍵風(fēng)險點(diǎn)。

(2)對風(fēng)險作用方式的界定。包括風(fēng)險對企業(yè)的影響是直接的還是間接的;是否會引發(fā)其他的相關(guān)風(fēng)險;風(fēng)險對企業(yè)的作用范圍等。

(3)對風(fēng)險后果的界定。在損失方面:如果風(fēng)險發(fā)生,對企業(yè)會造成多大的損失?如果避免或減少風(fēng)險,企業(yè)需要付出多大的代價?在冒風(fēng)險的利益方面:如果企業(yè)冒了風(fēng)險,可能獲得多大的利益?如果避免或減少風(fēng)險,企業(yè)得到的利益又是多少?

3.風(fēng)險評估任務(wù)

風(fēng)險評估的主要任務(wù)包括:

  • 識別組織面臨的各種風(fēng)險
  • 評估風(fēng)險概率和可能帶來的負(fù)面影響
  • 確定組織承受風(fēng)險的能力
  • 確定風(fēng)險消減和控制的優(yōu)先等級
  • 推薦風(fēng)險消減對策

4.風(fēng)險評估過程注意事項(xiàng)

在風(fēng)險評估過程中,有幾個關(guān)鍵的問題需要考慮。

首先,要確定保護(hù)的對象(或者資產(chǎn))是什么?它的直接和間接價值如何?

其次,資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問題所在?威脅發(fā)生的可能性有多大?

第三,資產(chǎn)中存在哪里弱點(diǎn)可能會被威脅所利用?利用的容易程度又如何?

第四,一旦威脅事件發(fā)生,組織會遭受怎樣的損失或者面臨怎樣的負(fù)面影響?

最后,組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險帶來的損失降低到最低程度?

解決以上問題的過程,就是風(fēng)險評估的過程。

進(jìn)行風(fēng)險評估時,有幾個對應(yīng)關(guān)系必須考慮:

  • 每項(xiàng)資產(chǎn)可能面臨多種威脅
  • 威脅源(威脅代理)可能不止一個
  • 每種威脅可能利用一個或多個弱點(diǎn)

5.風(fēng)險評估的三種可行途徑

風(fēng)險管理的前期準(zhǔn)備階段,組織已經(jīng)根據(jù)安全目標(biāo)確定了自己的安全戰(zhàn)略,其中就包括對風(fēng)險評估戰(zhàn)略的考慮。所謂風(fēng)險評估戰(zhàn)略,其實(shí)就是進(jìn)行風(fēng)險評估的途徑,也就是規(guī)定風(fēng)險評估應(yīng)該延續(xù)的操作過程和方式。

風(fēng)險評估的操作范圍可以是整個組織,也可以是組織中的某一部門,或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風(fēng)險評估進(jìn)展的某些因素,包括評估時間、力度、展開幅度和深度,都應(yīng)與組織的環(huán)境和安全要求相符合。組織應(yīng)該針對不同的情況來選擇恰當(dāng)?shù)娘L(fēng)險評估途徑。目前,實(shí)際工作中經(jīng)常使用的風(fēng)險評估途徑包括基線評估、詳細(xì)評估和組合評估三種。

6.風(fēng)險評估的常用方法

在風(fēng)險評估過程中,可以采用多種操作方法,包括基于知識(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,無論何種方法,共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險及其影響,以及目前安全水平與組織安全需求之間的差距。

基于知識的分析方法

在基線風(fēng)險評估時,組織可以采用基于知識的分析方法來找出目前的安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。

基于知識的分析方法又稱作經(jīng)驗(yàn)方法,它牽涉到對來自類似組織(包括規(guī)模、商務(wù)目標(biāo)和市場等)的“最佳慣例”的重用,適合一般性的信息安全社團(tuán)。采用基于知識的分析方法,組織不需要付出很多精力、時間和資源,只要通過多種途徑采集相關(guān)信息,識別組織的風(fēng)險所在和當(dāng)前的安全措施,與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較,從中找出不符合的地方,并按照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施,最終達(dá)到消減和控制風(fēng)險的目的。

評論  |   0條評論