南京中乾晟-上海项目评估及***价值分析报告

基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估;详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于在实践当中，***多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径，***首先对所有的系统进行一次初步的风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出***内具有高风险的或者对其商务运作极为关键的信息资产(或系统)，这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。

这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个系统的评估结果，而且，***的资源和资金能够应用到能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点:如果初步的风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，终导致结果失准。

用公式表示就是：

IV=经营活动产生的现金流量净额+过去三年的平均***活动现金流量净额—资本投入额×加权资本成本率

其中，本年度经营活动产生的现金流量净额加上过去三年平均***活动现金流量净额，就是修正后的自由现金流量，本文下方的自由现金流量都是指这种修正后的自由现金流量。由上可得***价值(IV)的另一个计算公式：

***价值(IV)=自由现金流量—资本投入额×加权资本成本率

这里的***价值实际上指的是在***活动当中，项目评估及***价值分析报告，扣除了机会成本以后得到的超额价值，只有具有这种超额价值的上市公司才是具有***价值的。将超额价值和投入的资本相比，就可以得到***价值率。

***价值率=***价值/本年资本投入额

***价值率可以对不同规模企业进行横向对比。

问题一、要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

   问题二、资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

   问题三、资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？

   问题四、一旦威胁事件发生，***会遭受怎样的损失或者面临怎样的影响？

   问题五、***应该采取怎样的安全措施才能将风险带来的损失降低到低程度？

   问题六、每项资产可能面临多种威胁，威胁源（威胁代理）可能不止一个，每种威胁可能利用一个或多个弱点。