風(fēng)險(xiǎn)評(píng)估

編輯 鎖定 討論999
風(fēng)險(xiǎn)評(píng)估(Risk Assessment) 是指,在風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒(méi)有結(jié)束),該事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即,風(fēng)險(xiǎn)評(píng)估就是量化測(cè)評(píng)某一事件或事物帶來(lái)的影響或損失的可能程度。
信息安全的角度來(lái)講,風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ),風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑,屬于組織信息安全管理體系策劃的過(guò)程。
中文名
風(fēng)險(xiǎn)評(píng)估
外文名
Risk Assessment
應(yīng)用領(lǐng)域
投資領(lǐng)域
評(píng)估時(shí)間
風(fēng)險(xiǎn)事件發(fā)生之前或之后

風(fēng)險(xiǎn)評(píng)估介紹

編輯

風(fēng)險(xiǎn)評(píng)估注意事項(xiàng)

風(fēng)險(xiǎn)評(píng)估過(guò)程注意事項(xiàng)
風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估
在風(fēng)險(xiǎn)評(píng)估過(guò)程中,有幾個(gè)關(guān)鍵的問(wèn)題需要考慮。
首先,要確定保護(hù)的對(duì)象(或者資產(chǎn))是什么?它的直接和間接價(jià)值如何?
其次,資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問(wèn)題所在?威脅發(fā)生的可能性有多大?
第三,資產(chǎn)中存在哪些弱點(diǎn)可能會(huì)被威脅所利用?利用的容易程度又如何?
第四,一旦威脅事件發(fā)生,組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響
最后,組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降低到最低程度?
解決以上問(wèn)題的過(guò)程,就是風(fēng)險(xiǎn)評(píng)估的過(guò)程。
進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),有幾個(gè)對(duì)應(yīng)關(guān)系必須考慮:
每項(xiàng)資產(chǎn)可能面臨多種威脅
威脅源(威脅代理)可能不止一個(gè)
每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn)

風(fēng)險(xiǎn)評(píng)估投資

項(xiàng)目投資風(fēng)險(xiǎn)評(píng)估報(bào)告是分析確定風(fēng)險(xiǎn)的過(guò)程,在國(guó)際投資領(lǐng)域中,為減少投資人的投資失誤和風(fēng)險(xiǎn),每一次投資活動(dòng)都必須建立一套科學(xué)的,適應(yīng)自己的投資活動(dòng)特征的理論和方法。項(xiàng)目投資風(fēng)險(xiǎn)評(píng)估報(bào)告是利用豐富的資料和數(shù)據(jù),定性和定量相結(jié)合,對(duì)投資項(xiàng)目的風(fēng)險(xiǎn)進(jìn)行全面的分析評(píng)價(jià),采取相應(yīng)的措施去減少、化解、規(guī)避風(fēng)險(xiǎn)的途徑。
項(xiàng)目投資風(fēng)險(xiǎn)評(píng)估報(bào)告是在全面系統(tǒng)分析目標(biāo)企業(yè)和項(xiàng)目的基礎(chǔ)上,按照國(guó)際通行的投資風(fēng)險(xiǎn)評(píng)估方法,站在第三方角度客觀(guān)公正地對(duì)企業(yè)、項(xiàng)目的投資風(fēng)險(xiǎn)進(jìn)行分析。投資風(fēng)險(xiǎn)評(píng)估報(bào)告包含了投資決策所關(guān)心的全部?jī)?nèi)容,如企業(yè)詳細(xì)介紹、項(xiàng)目詳細(xì)介紹、產(chǎn)品和服務(wù)模式、市場(chǎng)分析、融資需求、運(yùn)作計(jì)劃、競(jìng)爭(zhēng)分析、財(cái)務(wù)分析等內(nèi)容,并在此基礎(chǔ)上,以第三方角度,客觀(guān)公正地對(duì)投資風(fēng)險(xiǎn)進(jìn)行評(píng)估。 [1] 

風(fēng)險(xiǎn)評(píng)估任務(wù)

風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括:
識(shí)別評(píng)估對(duì)象面臨的各種風(fēng)險(xiǎn)
評(píng)估風(fēng)險(xiǎn)概率和可能帶來(lái)的負(fù)面影響
確定組織承受風(fēng)險(xiǎn)的能力
確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)
推薦風(fēng)險(xiǎn)消減對(duì)策

風(fēng)險(xiǎn)評(píng)估可行途徑

編輯
在風(fēng)險(xiǎn)管理的前期準(zhǔn)備階段,組織已經(jīng)根據(jù)安全目標(biāo)確定了自己的安全戰(zhàn)略,其中就包括對(duì)風(fēng)險(xiǎn)評(píng)估戰(zhàn)略的考慮。所謂風(fēng)險(xiǎn)評(píng)估戰(zhàn)略,其實(shí)就是進(jìn)行風(fēng)險(xiǎn)評(píng)估的途徑,也就是規(guī)定風(fēng)險(xiǎn)評(píng)估應(yīng)該延續(xù)的操作過(guò)程和方式。
風(fēng)險(xiǎn)評(píng)估的操作范圍可以是整個(gè)組織,也可以是組織中的某一部門(mén),或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風(fēng)險(xiǎn)評(píng)估進(jìn)展的某些因素,包括評(píng)估時(shí)間、力度、展開(kāi)幅度和深度,都應(yīng)與組織的環(huán)境和安全要求相符合。組織應(yīng)該針對(duì)不同的情況來(lái)選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估途徑。實(shí)際工作中經(jīng)常使用的風(fēng)險(xiǎn)評(píng)估途徑包括基線(xiàn)評(píng)估、詳細(xì)評(píng)估和組合評(píng)估三種。

風(fēng)險(xiǎn)評(píng)估基線(xiàn)

如果組織的商業(yè)運(yùn)作不是很復(fù)雜,并且組織對(duì)信息處理和網(wǎng)絡(luò)的依賴(lài)程度不是很高,或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式,基線(xiàn)風(fēng)險(xiǎn)評(píng)估(Baseline Risk Assessment)就可以直接而簡(jiǎn)單地實(shí)現(xiàn)基本的安全水平,并且滿(mǎn)足組織及其商業(yè)環(huán)境的所有要求。
采用基線(xiàn)風(fēng)險(xiǎn)評(píng)估,組織根據(jù)自己的實(shí)際情況(所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等),對(duì)信息系統(tǒng)進(jìn)行安全基線(xiàn)檢查(拿現(xiàn)有的安全措施與安全基線(xiàn)規(guī)定的措施進(jìn)行比較,找出其中的差距),得出基本的安全需求,通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。所謂的安全基線(xiàn),是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿(mǎn)足基本的安全需求,能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。組織可以根據(jù)以下資源來(lái)選擇安全基線(xiàn)
行業(yè)標(biāo)準(zhǔn)或推薦
來(lái)自其他有類(lèi)似商務(wù)目標(biāo)和規(guī)模的組織的慣例。
當(dāng)然,如果環(huán)境和商務(wù)目標(biāo)較為典型,組織也可以自行建立基線(xiàn)。
基線(xiàn)評(píng)估的優(yōu)點(diǎn)是需要的資源少,周期短,操作簡(jiǎn)單,對(duì)于環(huán)境相似且安全需求相當(dāng)?shù)闹T多組織,基線(xiàn)評(píng)估顯然是最經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。當(dāng)然,基線(xiàn)評(píng)估也有其難以避免的缺點(diǎn),比如基線(xiàn)水平的高低難以設(shè)定,如果過(guò)高,可能導(dǎo)致資源浪費(fèi)和限制過(guò)度,如果過(guò)低,可能難以達(dá)到充分的安全,此外,在管理安全相關(guān)的變化方面,基線(xiàn)評(píng)估比較困難。
基線(xiàn)評(píng)估的目標(biāo)是建立一套滿(mǎn)足信息安全基本目標(biāo)的最小的對(duì)策集合,它可以在全組織范圍內(nèi)實(shí)行,如果有特殊需要,應(yīng)該在此基礎(chǔ)上,對(duì)特定系統(tǒng)進(jìn)行更詳細(xì)的評(píng)估。

風(fēng)險(xiǎn)評(píng)估詳細(xì)

詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià),對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評(píng)估,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)識(shí)別和選擇安全措施。這種評(píng)估途徑集中體現(xiàn)了風(fēng)險(xiǎn)管理的思想,即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受的水平,以此證明管理者所采用的安全控制措施是恰當(dāng)?shù)摹?/div>
風(fēng)險(xiǎn)識(shí)別
“風(fēng)險(xiǎn)識(shí)別”(risk identification)是發(fā)現(xiàn)、承認(rèn)和描述風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)識(shí)別包括對(duì)風(fēng)險(xiǎn)源、風(fēng)險(xiǎn)事件、風(fēng)險(xiǎn)原因及其潛在后果的識(shí)別。風(fēng)險(xiǎn)識(shí)別包括歷史數(shù)據(jù)、理論分析、有見(jiàn)識(shí)的意見(jiàn)、專(zhuān)家的意見(jiàn),以及利益相關(guān)方的需求。 [2] 
風(fēng)險(xiǎn)評(píng)價(jià)
“風(fēng)險(xiǎn)評(píng)價(jià)”(risk evaluation)是把風(fēng)險(xiǎn)分析的結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則相比較,以決定風(fēng)險(xiǎn)和/或其大小是否可接受或可容忍的過(guò)程。正確的風(fēng)險(xiǎn)評(píng)價(jià)有助于組織對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)的決策。 [2] 
詳細(xì)評(píng)估的優(yōu)點(diǎn)在于:
1、組織可以通過(guò)詳細(xì)的風(fēng)險(xiǎn)評(píng)估而對(duì)信息安全風(fēng)險(xiǎn)有一個(gè)精確的認(rèn)識(shí),并且準(zhǔn)確定義出組織的安全水平和安全需求;
2、詳細(xì)評(píng)估的結(jié)果可用來(lái)管理安全變化。當(dāng)然,詳細(xì)的風(fēng)險(xiǎn)評(píng)估可能是非常耗費(fèi)資源的過(guò)程,包括時(shí)間、精力和技術(shù),因此,組織應(yīng)該仔細(xì)設(shè)定待評(píng)估的信息系統(tǒng)范圍,明確商務(wù)環(huán)境、操作和信息資產(chǎn)的邊界。

風(fēng)險(xiǎn)評(píng)估組合

基線(xiàn)風(fēng)險(xiǎn)評(píng)估耗費(fèi)資源少、周期短、操作簡(jiǎn)單,但不夠準(zhǔn)確,適合一般環(huán)境的評(píng)估;詳細(xì)風(fēng)險(xiǎn)評(píng)估準(zhǔn)確而細(xì)致,但耗費(fèi)資源較多,適合嚴(yán)格限定邊界的較小范圍內(nèi)的評(píng)估。基于在實(shí)踐當(dāng)中,組織多是采用二者結(jié)合的組合評(píng)估方式。
為了決定選擇哪種風(fēng)險(xiǎn)評(píng)估途徑,組織首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的高級(jí)風(fēng)險(xiǎn)評(píng)估,著眼于信息系統(tǒng)的商務(wù)價(jià)值和可能面臨的風(fēng)險(xiǎn),識(shí)別出組織內(nèi)具有高風(fēng)險(xiǎn)的或者對(duì)其商務(wù)運(yùn)作極為關(guān)鍵的信息資產(chǎn)(或系統(tǒng)),這些資產(chǎn)或系統(tǒng)應(yīng)該劃入詳細(xì)風(fēng)險(xiǎn)評(píng)估的范圍,而其他系統(tǒng)則可以通過(guò)基線(xiàn)風(fēng)險(xiǎn)評(píng)估直接選擇安全措施。
這種評(píng)估途徑將基線(xiàn)和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)結(jié)合起來(lái),既節(jié)省了評(píng)估所耗費(fèi)的資源,又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果,而且,組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方,具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。當(dāng)然,組合評(píng)估也有缺點(diǎn):如果初步的高級(jí)風(fēng)險(xiǎn)評(píng)估不夠準(zhǔn)確,某些本來(lái)需要詳細(xì)評(píng)估的系統(tǒng)也許會(huì)被忽略,最終導(dǎo)致結(jié)果失準(zhǔn)。

風(fēng)險(xiǎn)評(píng)估常用方法

編輯

風(fēng)險(xiǎn)評(píng)估方法

一、風(fēng)險(xiǎn)因素分析法
風(fēng)險(xiǎn)因素分析法是指對(duì)可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的因素進(jìn)行評(píng)價(jià)分析,從而確定風(fēng)險(xiǎn)發(fā)生概率大小的風(fēng)險(xiǎn)評(píng)估方法。其一般思路是:調(diào)查風(fēng)險(xiǎn)源→識(shí)別風(fēng)險(xiǎn)轉(zhuǎn)化條件→確定轉(zhuǎn)化條件是否具備→估計(jì)風(fēng)險(xiǎn)發(fā)生的后果→風(fēng)險(xiǎn)評(píng)價(jià)。
二、模糊綜合評(píng)價(jià)法
三、內(nèi)部控制評(píng)價(jià)法
內(nèi)部控制評(píng)價(jià)法是指通過(guò)對(duì)被審計(jì)單位內(nèi)部控制結(jié)構(gòu)的評(píng)價(jià)而確定審計(jì)風(fēng)險(xiǎn)的一種方法。由于內(nèi)部控制結(jié)構(gòu)與控制風(fēng)險(xiǎn)直接相關(guān),因而這種方法主要在控制風(fēng)險(xiǎn)的評(píng)估中使用。注冊(cè)會(huì)計(jì)師對(duì)于企業(yè)內(nèi)部控制所做出的研究和評(píng)價(jià)可分為三個(gè)步驟:
四、分析性復(fù)核法
分析性復(fù)核法是注冊(cè)會(huì)計(jì)師對(duì)被審計(jì)單位主要比率或趨勢(shì)進(jìn)行分析,包括調(diào)查異常變動(dòng)以及這些重要比率或趨勢(shì)與預(yù)期數(shù)額和相關(guān)信息的差異,以推測(cè)會(huì)計(jì)報(bào)表是否存在重要錯(cuò)報(bào)或漏報(bào)可能性。常用的方法有比較分析法、比率分析法、趨勢(shì)分析法三種。
五、定性風(fēng)險(xiǎn)評(píng)價(jià)法
定性風(fēng)險(xiǎn)評(píng)價(jià)法是指那些通過(guò)觀(guān)察、調(diào)查與分析,并借助注冊(cè)會(huì)計(jì)師的經(jīng)驗(yàn)、專(zhuān)業(yè)標(biāo)準(zhǔn)和判斷等能對(duì)審計(jì)風(fēng)險(xiǎn)進(jìn)行定性評(píng)估的方法。它具有便捷、有效的優(yōu)點(diǎn),適合評(píng)估各種審計(jì)風(fēng)險(xiǎn)。主要方法有:觀(guān)察法、調(diào)查了解法、邏輯分析法、類(lèi)似估計(jì)法。
六、風(fēng)險(xiǎn)率風(fēng)險(xiǎn)評(píng)價(jià)法
風(fēng)險(xiǎn)率風(fēng)險(xiǎn)評(píng)價(jià)法是定量風(fēng)險(xiǎn)評(píng)價(jià)法中的一種。它的基本思路是:先計(jì)算出風(fēng)險(xiǎn)率,然后把風(fēng)險(xiǎn)率與風(fēng)險(xiǎn)安全指標(biāo)相比較,若風(fēng)險(xiǎn)率大于風(fēng)險(xiǎn)安全指標(biāo),則系統(tǒng)處于風(fēng)險(xiǎn)狀態(tài),兩數(shù)據(jù)相差越大,風(fēng)險(xiǎn)越大。
風(fēng)險(xiǎn)率等于風(fēng)險(xiǎn)發(fā)生的頻率乘以風(fēng)險(xiǎn)發(fā)生的平均損失,風(fēng)險(xiǎn)損失包括無(wú)形損失,無(wú)形損失可以按一定標(biāo)準(zhǔn)折換或按金額進(jìn)行計(jì)算。風(fēng)險(xiǎn)安全指標(biāo)則是在大量經(jīng)驗(yàn)積累及統(tǒng)計(jì)運(yùn)算的基礎(chǔ)上,考慮到當(dāng)時(shí)的科學(xué)技術(shù)水平、社會(huì)經(jīng)濟(jì)情況、法律因素以及人們的心理因素等確定的普遍能夠接受的最低風(fēng)險(xiǎn)率。風(fēng)險(xiǎn)率風(fēng)險(xiǎn)評(píng)價(jià)法可在會(huì)計(jì)師事務(wù)所以及注冊(cè)會(huì)計(jì)師行業(yè)風(fēng)險(xiǎn)管理中使用。

風(fēng)險(xiǎn)評(píng)估項(xiàng)目建議書(shū)

風(fēng)險(xiǎn)評(píng)估項(xiàng)目建議書(shū)
任務(wù)名稱(chēng)

  
  
  
建議單位及地址

  
聯(lián)系人及
聯(lián)系方式

  
建議評(píng)估模式*
非應(yīng)急評(píng)估( ) 應(yīng)急評(píng)估 ( )

  
  
風(fēng)險(xiǎn)來(lái)源和性質(zhì)
風(fēng)險(xiǎn)名稱(chēng)

  
  
進(jìn)入食物鏈方式

  
  
  
污染的食物種類(lèi)

  
  
  
在食物中的含量

  
  
  
風(fēng)險(xiǎn)涉及范圍

  
  
  
相關(guān)檢驗(yàn)數(shù)據(jù)和結(jié)論

  
  
  
已經(jīng)發(fā)生的健康影響

  
  
  
國(guó)內(nèi)外已有的管理措施

  
  
  
其他有關(guān)信息和資料
(包括信息來(lái)源、獲得時(shí)間、核實(shí)情況)

  
  
*建議采用應(yīng)急評(píng)估應(yīng)當(dāng)提供背景情況和理由。
建議單位:(簽章) 日期:
參考資料
詞條標(biāo)簽:
中國(guó)食品科學(xué)技術(shù)學(xué)會(huì) 經(jīng)濟(jì)術(shù)語(yǔ) , 社會(huì)
詞條統(tǒng)計(jì)
  • 瀏覽次數(shù):
  • 編輯次數(shù):28次歷史版本
  • 最近更新: w_ou