风险评估

1.风险评估的定义

风险评估(Risk Assessment)是指在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。

2.风险评估的内容

(1)对风险本身的界定。包括风险发生的可能性;风险强度;风险持续时间;风险发生的区域及关键风险点。

(2)对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的;是否会引发其他的相关风险;风险对企业的作用范围等。

(3)对风险后果的界定。在损失方面:如果风险发生,对企业会造成多大的损失?如果避免或减少风险,企业需要付出多大的代价?在冒风险的利益方面:如果企业冒了风险,可能获得多大的利益?如果避免或减少风险,企业得到的利益又是多少?

3.风险评估任务

风险评估的主要任务包括:

  • 识别组织面临的各种风险
  • 评估风险概率和可能带来的负面影响
  • 确定组织承受风险的能力
  • 确定风险消减和控制的优先等级
  • 推荐风险消减对策

4.风险评估过程注意事项

在风险评估过程中,有几个关键的问题需要考虑。

首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?

其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?

第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?

第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?

最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?

解决以上问题的过程,就是风险评估的过程。

进行风险评估时,有几个对应关系必须考虑:

  • 每项资产可能面临多种威胁
  • 威胁源(威胁代理)可能不止一个
  • 每种威胁可能利用一个或多个弱点

5.风险评估的三种可行途径

风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。

风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前,实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

6.风险评估的常用方法

在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。

基于知识的分析方法

在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。

基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。