風(fēng)險(xiǎn)評(píng)估就是量化測(cè)評(píng)某一事件或事物帶來(lái)的影響或損失的可能程度。那么你對(duì)風(fēng)險(xiǎn)評(píng)估了解多少呢?以下是由學(xué)習(xí)啦小編整理關(guān)于什么是風(fēng)險(xiǎn)評(píng)估的內(nèi)容，希望大家喜歡!

　　風(fēng)險(xiǎn)評(píng)估的簡(jiǎn)介

　　風(fēng)險(xiǎn)評(píng)估(Risk Assessment) 是指，在風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒(méi)有結(jié)束)，該事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即，風(fēng)險(xiǎn)評(píng)估就是量化測(cè)評(píng)某一事件或事物帶來(lái)的影響或損失的可能程度。

　　從信息安全的角度來(lái)講，風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過(guò)程。

　　風(fēng)險(xiǎn)評(píng)估過(guò)程注意事項(xiàng)

　　在風(fēng)險(xiǎn)評(píng)估過(guò)程中，有幾個(gè)關(guān)鍵的問(wèn)題需要考慮。

　　首先，要確定保護(hù)的對(duì)象(或者資產(chǎn))是什么?它的直接和間接價(jià)值如何?

　　其次，資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問(wèn)題所在?威脅發(fā)生的可能性有多大?

　　第三，資產(chǎn)中存在哪些弱點(diǎn)可能會(huì)被威脅所利用?利用的容易程度又如何?

　　第四，一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?

　　最后，組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降低到最低程度?

　　解決以上問(wèn)題的過(guò)程，就是風(fēng)險(xiǎn)評(píng)估的過(guò)程。

　　進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，有幾個(gè)對(duì)應(yīng)關(guān)系必須考慮：

　　每項(xiàng)資產(chǎn)可能面臨多種威脅

　　威脅源(威脅代理)可能不止一個(gè)

　　每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn)

　　風(fēng)險(xiǎn)評(píng)估可行途徑

　　在風(fēng)險(xiǎn)管理的前期準(zhǔn)備階段，組織已經(jīng)根據(jù)安全目標(biāo)確定了自己的安全戰(zhàn)略，其中就包括對(duì)風(fēng)險(xiǎn)評(píng)估戰(zhàn)略的考慮。所謂風(fēng)險(xiǎn)評(píng)估戰(zhàn)略，其實(shí)就是進(jìn)行風(fēng)險(xiǎn)評(píng)估的途徑，也就是規(guī)定風(fēng)險(xiǎn)評(píng)估應(yīng)該延續(xù)的操作過(guò)程和方式。

　　風(fēng)險(xiǎn)評(píng)估的操作范圍可以是整個(gè)組織，也可以是組織中的某一部門，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風(fēng)險(xiǎn)評(píng)估進(jìn)展的某些因素，包括評(píng)估時(shí)間、力度、展開(kāi)幅度和深度，都應(yīng)與組織的環(huán)境和安全要求相符合。組織應(yīng)該針對(duì)不同的情況來(lái)選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估途徑。實(shí)際工作中經(jīng)常使用的風(fēng)險(xiǎn)評(píng)估途徑包括基線評(píng)估、詳細(xì)評(píng)估和組合評(píng)估三種。

　　基線

　　如果組織的商業(yè)運(yùn)作不是很復(fù)雜，并且組織對(duì)信息處理和網(wǎng)絡(luò)的依賴程度不是很高，或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式，基線風(fēng)險(xiǎn)評(píng)估(Baseline Risk Assessment)就可以直接而簡(jiǎn)單地實(shí)現(xiàn)基本的安全水平，并且滿足組織及其商業(yè)環(huán)境的所有要求。

　　采用基線風(fēng)險(xiǎn)評(píng)估，組織根據(jù)自己的實(shí)際情況(所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等)，對(duì)信息系統(tǒng)進(jìn)行安全基線檢查(拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距)，得出基本的安全需求，通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。所謂的安全基線，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。組織可以根據(jù)以下資源來(lái)選擇安全基線：

　　國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，例如BS 7799-1、ISO 13335-4;

　　行業(yè)標(biāo)準(zhǔn)或推薦

　　來(lái)自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。

　　當(dāng)然，如果環(huán)境和商務(wù)目標(biāo)較為典型，組織也可以自行建立基線。

　　基線評(píng)估的優(yōu)點(diǎn)是需要的資源少，周期短，操作簡(jiǎn)單，對(duì)于環(huán)境相似且安全需求相當(dāng)?shù)闹T多組織，基線評(píng)估顯然是最經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。當(dāng)然，基線評(píng)估也有其難以避免的缺點(diǎn)，比如基線水平的高低難以設(shè)定，如果過(guò)高，可能導(dǎo)致資源浪費(fèi)和限制過(guò)度，如果過(guò)低，可能難以達(dá)到充分的安全，此外，在管理安全相關(guān)的變化方面，基線評(píng)估比較困難。

　　基線評(píng)估的目標(biāo)是建立一套滿足信息安全基本目標(biāo)的最小的對(duì)策集合，它可以在全組織范圍內(nèi)實(shí)行，如果有特殊需要，應(yīng)該在此基礎(chǔ)上，對(duì)特定系統(tǒng)進(jìn)行更詳細(xì)的評(píng)估。

　　詳細(xì)

　　詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)識(shí)別和選擇安全措施。這種評(píng)估途徑集中體現(xiàn)了風(fēng)險(xiǎn)管理的思想，即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受的水平，以此證明管理者所采用的安全控制措施是恰當(dāng)?shù)摹?/p>

下一頁(yè)更多有關(guān)“什么是風(fēng)險(xiǎn)評(píng)估”的內(nèi)容