風險評估是什麼意思有什麼常用方法

  風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。那麼你對風險評估瞭解多少呢?以下是由小編整理關於什麼是風險評估的內容,希望大家喜歡!

  風險評估的簡介

  風險評估***Risk Assessment*** 是指,在風險事件發生之前或之後***但還沒有結束***,該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

  從資訊保安的角度來講,風險評估是對資訊資產***即某事件或事物所具有的資訊集***所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定資訊保安需求的一個重要途徑,屬於組織資訊保安管理體系策劃的過程。

  風險評估過程注意事項

  在風險評估過程中,有幾個關鍵的問題需要考慮。

  首先,要確定保護的物件***或者資產***是什麼?它的直接和間接價值如何?

  其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?

  第三,資產中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?

  第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?

  最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度?

  解決以上問題的過程,就是風險評估的過程。

  進行風險評估時,有幾個對應關係必須考慮:

  每項資產可能面臨多種威脅

  威脅源***威脅代理***可能不止一個

  每種威脅可能利用一個或多個弱點

  風險評估可行途徑

  在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。

  風險評估的操作範圍可以是整個組織,也可以是組織中的某一部門,或者獨立的資訊系統、特定系統元件和服務。影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

  基線

  如果組織的商業運作不是很複雜,並且組織對資訊處理和網路的依賴程度不是很高,或者組織資訊系統多采用普遍且標準化的模式,基線風險評估***Baseline Risk Assessment***就可以直接而簡單地實現基本的安全水平,並且滿足組織及其商業環境的所有要求。

  採用基線風險評估,組織根據自己的實際情況***所在行業、業務環境與性質等***,對資訊系統進行安全基線檢查***拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距***,得出基本的安全需求,通過選擇並實施標準的安全措施來消減和控制風險。所謂的安全基線,是在諸多標準規範中規定的一組安全控制措施或者慣例,這些措施和慣例適用於特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到一定的安全防護水平。組織可以根據以下資源來選擇安全基線:

  國際標準和國家標準,例如BS 7799-1、ISO 13335-4;

  行業標準或推薦

  來自其他有類似商務目標和規模的組織的慣例。

  當然,如果環境和商務目標較為典型,組織也可以自行建立基線。

  基線評估的優點是需要的資源少,週期短,操作簡單,對於環境相似且安全需求相當的諸多組織,基線評估顯然是最經濟有效的風險評估途徑。當然,基線評估也有其難以避免的缺點,比如基線水平的高低難以設定,如果過高,可能導致資源浪費和限制過度,如果過低,可能難以達到充分的安全,此外,在管理安全相關的變化方面,基線評估比較困難。

  基線評估的目標是建立一套滿足資訊保安基本目標的最小的對策集合,它可以在全組織範圍內實行,如果有特殊需要,應該在此基礎上,對特定系統進行更詳細的評估。

  詳細

  詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想,即識別資產的風險並將風險降低到可接受的水平,以此證明管理者所採用的安全控制措施是恰當的。

下一頁更多有關“什麼是風險評估”的內容