風險評估

發(fā)布時間：2012-09-16 18:10:01

百科名片

風險評估是在風險管理過程的一個步驟。風險評估是將不確定的威脅或損失進行量化的工作。風險評估的量化需要計算兩部分風險：潛在損失的大小，和損失發(fā)生的概率。在所有類型的復(fù)雜系統(tǒng)工程都利用先進的風險評估系統(tǒng)來增加工程的安全性和可靠性，尤其在涉及到生活，環(huán)境或機器運轉(zhuǎn)領(lǐng)域。核工業(yè)、航天、石油、鐵路、軍工等行業(yè)使用風險評估有著悠久的歷史。此外，醫(yī)療、醫(yī)院和食品工業(yè)控制風險和進行風險評估的應(yīng)用在持續(xù)推進。因為財務(wù)決策、環(huán)境、生態(tài)或公共健康風險的不同，在不同行業(yè)間和風險評估方法也不同。

　　風險評估的三種可行途徑

在風險管理的前期準備階段，組織已經(jīng)根據(jù)安全目標確定了自己的安全戰(zhàn)略，其中就包括對風險評估戰(zhàn)略的考慮。所謂風險評估戰(zhàn)略，其實就是進行風險評估的途徑，也就是規(guī)定風險評估應(yīng)該延續(xù)的操作過程和方式。

風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應(yīng)與組織的環(huán)境和安全要求相符合。組織應(yīng)該針對不同的情況來選擇恰當?shù)娘L險評估途徑。目前，實際工作中經(jīng)常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

　　風險評估的角色及職責

1、風險評估的角色

信息安全風險評估（以下簡稱風險評估）在具體實施過程中將涉及多個參與方，參與方在評估中扮演不同的角色。在一個完整的信息安全風險評估當中，一般包括主管機關(guān)、信息系統(tǒng)擁有者、信息系統(tǒng)承建者、信息安全評估機構(gòu)以及信息系統(tǒng)的相關(guān)機構(gòu)。

2、風險評估的職責

其各自的職責為：

（1）行政審批

主管機關(guān)具有風險評估的行政審批權(quán)力，主要負責提出、制定并批準本部門的信息安全風險管理策略，領(lǐng)導(dǎo)和組織本部門內(nèi)的信息安全評估工作?；诒静块T內(nèi)信息系統(tǒng)的特征以及風險評估的結(jié)果，判斷信息系統(tǒng)殘余風險是否可接受，并確定是否批準信息系統(tǒng)投入運行。檢查信息系統(tǒng)運行中產(chǎn)生的安全狀態(tài)報告；定期或不定期地開展新的信息安全風險評估工

（2）組織協(xié)調(diào)

信息系統(tǒng)擁有者具有風險評估的組織協(xié)調(diào)權(quán)力，將負責制定安全計劃，報主管機關(guān)審批；組織實施信息系統(tǒng)自評估工作；配合強制性檢查評估或委托評估工作，并提供必要的文檔等資源；向主管機關(guān)提出新一輪風險評估的建議；改善信息安全防護措施，控制信息安全風

（3）措施整改

信息系統(tǒng)承建者應(yīng)根據(jù)對信息系統(tǒng)建設(shè)方案的風險評估結(jié)果修正安全方案，使安全方案成本合理、積極有效，在方案中有效地控制風險；規(guī)范建設(shè)，減少在建設(shè)階段引入的新風險；確保安全組件產(chǎn)品得到了相關(guān)機構(gòu)的認證。

（4）具體實施

信息安全評估機構(gòu)提供獨立的信息安全風險評估；對信息系統(tǒng)中的安全防護措施進行評估，以判斷這些安全防護措施在特定運行環(huán)境中的有效性以及實現(xiàn)了這些措施后系統(tǒng)中存在的殘余風險；提出調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對抗安全威脅，控制風險；保護風險評估中獲得的敏感信息，防止被無關(guān)人員和單位獲得。

（5）輔助支持

信息系統(tǒng)的相關(guān)機構(gòu)為風險評估提供輔助支持，遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風險；協(xié)助風險評估機構(gòu)確定評估邊界；在風險評估中提供必要的資源和資料。