风险评估是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
风险评估的主要任务包括:
识别评估对象面临的各种风险;
评估风险概率和可能带来的负面影响;
确定组织承受风险的能力;
确定风险消减和控制的优先等级;
推荐风险消减对策。
常用的风险评价方法有以下几种:
1.成本效益分析法。成本效益分析法是研究在采取某种措施的情况下需要付出多大的代价,以及可以取得多大的效果。
2.权衡分析法。权衡分析法是将各项风险所致后果进行量化比较,从而各项风险的存在与发生可能造成的影响。
3.风险效益分析法。风险效益分析法是研究在采取某种措施的情况下,取得一定的效果需要承担多大的风险。
4.统计型评价法。统计型评价法是对已知发生的概率及其损益值的各种风险进行成本及效果比较分析并加以评价的方法。
5.综合分析法。综合分析法是利用统计分析的方法,将风险的构成要素划分为若干具体的项目,由专家对各项目进行调查统计评出分值,然后根据分值及权数计算出各要素的实际评分值与最大可能值之比,作为风险程度评价的依据。
风险的评价是企业在取得风险估计结果的基础上,研究该风险的性质,分析谈风险的影响,寻求风险对策的行为。
风险评价的方法在很大程度上取决于管理者的主观因素,不同的管理者对同样货币金额的风险有不同的评价方法。这是因为相同的损益对于不同地位、不同处境的法人具有不同的效用。所谓效用,是指利益或收益存在于主体心目中的满足欲望或需要的能力。
主观因素决定着决策者对待风险的态度,而其态度不外乎三种情况:拒绝风险,放弃盈利机会;承担风险,追求利润;合理地规范其所能承受的风险程度,不因高盈利而冒大风险,也不因小风险而放弃盈利机会。显然,后者的态度是积极稳健的。
1、资产识别与赋值:对评估范围内的所有资产进行识别,并调查资产破坏后可能造成的损失大小,根据危害和损的大小为资产进行相对赋值;资产包括硬件、软件、服务、信息和人员等。
2、威胁识别与赋值:即分析资产所面临的每种威胁发生的频率,威胁包括环境因素和人为因素。
3、脆弱性识别与赋值:从管理和技术两个方面发现和识别脆弱性,根据被威胁利用时对资产造成的损害进行赋值。
4、风险值计算:通过分析上述测试数据,进行风险值计算,识别和确认高风险,并针对存在的安全风险提出整改建议。
5、被评估单位可根据风险评估结果防范和化解信息安全风险,或者将风险控制在可接受的水平,为最大限度地保障网络和信息安全提供科学依据。
扩展资料
风险评估的 *** 作范围可以为整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。
影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
风险评估的主要任务包括:识别评估对象面临的各种风险;评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险消减和控制的优先等级;推荐风险消减对策。
参考资料来源:百度百科-风险评估
参考资料来源:百度百科-安全风险评估
1、首先,要确定保护的对象(或者资产),它的直接和间接价值。
2、其次,资产面临的潜在威胁,导致威胁的问题所在,威胁发生的可能性的大小。
3、第三,资产中存在的可能会被威胁所利用的弱点,以及利用的容易程度。
4、第四,一旦威胁事件发生,组织会遭受到的损失或者面临的负面影响。
5、最后,组织应该思考将风险带来的损失降低到最低程度安全措施。
扩展资料:
风险评估相关:
在一个企业中,诱发安全事故的因素很多,“安全风险评估”能为全面有效落实安全管理工作提供基础资料.并评估出不同环境或不同时期的安全危险性的重点,加强安全管理,采取宣传教育、行政、技术及监督等措施和手段,推动各阶层员工做好每项安全工作。
使企业每位员工都能真正重视安全工作,让其了解及掌握基本安全知识,这样,绝大多数安全事故均是可以避的。这也是安全风险评估的价值所在。
参考资料来源:百度百科-风险评估
参考资料来源:百度百科-安全风险评估
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)