風險評估

風險評估過程注意事項

在風險評估過程中，有幾個關鍵的問題需要考慮。

首先，要確定保護的對象（或者資產）是什麼？它的直接和間接價值如何？

其次，資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？

第三，資產中存在哪些弱點可能會被威脅所利用？利用的容易程度又如何？

第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？

最後，組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度？

解決以上問題的過程，就是風險評估的過程。

進行風險評估時，有幾個對應關係必須考慮：

每項資產可能面臨多種威脅

威脅源（威脅代理）可能不止一個

每種威脅可能利用一個或多個弱點

項目投資風險評估報告是分析確定風險的過程，在國際投資領域中，為減少投資人的投資失誤和風險，每一次投資活動都必須建立一套科學的，適應自己的投資活動特徵的理論和方法。項目投資風險評估報告是利用豐富的資料和數據，定性和定量相結合，對投資項目的風險進行全面的分析評價，採取相應的措施去減少、化解、規避風險的途徑。

項目投資風險評估報告是在全面系統分析目標企業和項目的基礎上，按照國際通行的投資風險評估方法，站在第三方角度客觀公正地對企業、項目的投資風險進行分析。投資風險評估報告包含了投資決策所關心的全部內容，如企業詳細介紹、項目詳細介紹、產品和服務模式、市場分析、融資需求、運作計劃、競爭分析、財務分析等內容，並在此基礎上，以第三方角度，客觀公正地對投資風險進行評估。 ^[1] 

風險評估的主要任務包括：

識別評估對象面臨的各種風險

評估風險概率和可能帶來的負面影響

確定組織承受風險的能力

確定風險消減和控制的優先等級

推薦風險消減對策

在風險管理的前期準備階段，組織已經根據安全目標確定了自己的安全戰略，其中就包括對風險評估戰略的考慮。所謂風險評估戰略，其實就是進行風險評估的途徑，也就是規定風險評估應該延續的操作過程和方式。

風險評估的操作範圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統、特定系統組件和服務。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

如果組織的商業運作不是很複雜，並且組織對信息處理和網絡的依賴程度不是很高，或者組織信息系統多采用普遍且標準化的模式，基線風險評估（Baseline Risk Assessment）就可以直接而簡單地實現基本的安全水平，並且滿足組織及其商業環境的所有要求。

採用基線風險評估，組織根據自己的實際情況（所在行業、業務環境與性質等），對信息系統進行安全基線檢查（拿現有的安全措施與安全基線規定的措施進行比較，找出其中的差距），得出基本的安全需求，通過選擇並實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規範中規定的一組安全控制措施或者慣例，這些措施和慣例適用於特定環境下的所有系統，可以滿足基本的安全需求，能使系統達到一定的安全防護水平。組織可以根據以下資源來選擇安全基線：

國際標準和國家標準，例如BS 7799-1、ISO 13335-4；

行業標準或推薦

來自其他有類似商務目標和規模的組織的慣例。

當然，如果環境和商務目標較為典型，組織也可以自行建立基線。

基線評估的優點是需要的資源少，週期短，操作簡單，對於環境相似且安全需求相當的諸多組織，基線評估顯然是最經濟有效的風險評估途徑。當然，基線評估也有其難以避免的缺點，比如基線水平的高低難以設定，如果過高，可能導致資源浪費和限制過度，如果過低，可能難以達到充分的安全，此外，在管理安全相關的變化方面，基線評估比較困難。

基線評估的目標是建立一套滿足信息安全基本目標的最小的對策集合，它可以在全組織範圍內實行，如果有特殊需要，應該在此基礎上，對特定系統進行更詳細的評估。

詳細風險評估要求對資產進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想，即識別資產的風險並將風險降低到可接受的水平，以此證明管理者所採用的安全控制措施是恰當的。

“風險識別”(risk identification)是發現、承認和描述風險的過程。風險識別包括對風險源、風險事件、風險原因及其潛在後果的識別。風險識別包括歷史數據、理論分析、有見識的意見、專家的意見，以及利益相關方的需求。 ^[2] 

風險評價

“風險評價”(risk evaluation)是把風險分析的結果與風險準則相比較，以決定風險和/或其大小是否可接受或可容忍的過程。正確的風險評價有助於組織對風險應對的決策。 ^[2] 

詳細評估的優點在於：

1、組織可以通過詳細的風險評估而對信息安全風險有一個精確的認識，並且準確定義出組織的安全水平和安全需求；

2、詳細評估的結果可用來管理安全變化。當然，詳細的風險評估可能是非常耗費資源的過程，包括時間、精力和技術，因此，組織應該仔細設定待評估的信息系統範圍，明確商務環境、操作和信息資產的邊界。

基線風險評估耗費資源少、週期短、操作簡單，但不夠準確，適合一般環境的評估；詳細風險評估準確而細緻，但耗費資源較多，適合嚴格限定邊界的較小範圍內的評估。基於在實踐當中，組織多是採用二者結合的組合評估方式。

為了決定選擇哪種風險評估途徑，組織首先對所有的系統進行一次初步的高級風險評估，着眼於信息系統的商務價值和可能面臨的風險，識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產（或系統），這些資產或系統應該劃入詳細風險評估的範圍，而其他系統則可以通過基線風險評估直接選擇安全措施。

這種評估途徑將基線和詳細風險評估的優勢結合起來，既節省了評估所耗費的資源，又能確保獲得一個全面系統的評估結果，而且，組織的資源和資金能夠應用到最能發揮作用的地方，具有高風險的信息系統能夠被預先關注。當然，組合評估也有缺點：如果初步的高級風險評估不夠準確，某些本來需要詳細評估的系統也許會被忽略，最終導致結果失準。

一、風險因素分析法

風險因素分析法是指對可能導致風險發生的因素進行評價分析，從而確定風險發生概率大小的風險評估方法。其一般思路是：調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的後果→風險評價。

二、模糊綜合評價法

三、內部控制評價法

內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。由於內部控制結構與控制風險直接相關，因而這種方法主要在控制風險的評估中使用。註冊會計師對於企業內部控制所做出的研究和評價可分為三個步驟：

四、分析性複核法

分析性複核法是註冊會計師對被審計單位主要比率或趨勢進行分析，包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異，以推測會計報表是否存在重要錯報或漏報可能性。常用的方法有比較分析法、比率分析法、趨勢分析法三種。

五、定性風險評價法

定性風險評價法是指那些通過觀察、調查與分析，並藉助註冊會計師的經驗、專業標準和判斷等能對審計風險進行定性評估的方法。它具有便捷、有效的優點，適合評估各種審計風險。主要方法有：觀察法、調查瞭解法、邏輯分析法、類似估計法。

六、風險率風險評價法

風險率風險評價法是定量風險評價法中的一種。它的基本思路是：先計算出風險率，然後把風險率與風險安全指標相比較，若風險率大於風險安全指標，則系統處於風險狀態，兩數據相差越大，風險越大。

風險率等於風險發生的頻率乘以風險發生的平均損失，風險損失包括無形損失，無形損失可以按一定標準折換或按金額進行計算。風險安全指標則是在大量經驗積累及統計運算的基礎上，考慮到當時的科學技術水平、社會經濟情況、法律因素以及人們的心理因素等確定的普遍能夠接受的最低風險率。風險率風險評價法可在會計師事務所以及註冊會計師行業風險管理中使用。

風險評估項目建議書

*建議採用應急評估應當提供背景情況和理由。

建議單位：（簽章） 日期：