项目管理的本质是计划、预测、预算和估算,这都表明了项目中的确定因素是很少的。因此,要决定项目的不确定性就需要考虑项目的方方面面。但这是非常不切实际的,因为评估需要的成本和时间是有限的,因此,一般需要保证的是,风险评估的对象必须是那些在项目中受到严重的约束和具有较大不确定性的地方。另外,需要强调的是,这个评估的过程事实上是反复的,只有当评估者和项目经理都认为所有未发现的风险都是无关紧要的时候,风险评估才能完成。评估过程允许风险承担者定义风险类型。可以根据概率和影响,或者根据安全措施和冒险。影响表示的是作用于预算、项目完成时间表、工作质量或者项目安全性的影响的严重程度。风险发生的概率及风险影响的程度究竟是高还是低,是风险评估者和项目经理所关心的问题。
内容一、资产识别与赋值:对评估范围内的所有资产进行识别,项目风险及可行性分析报告,并调查资产***后可能造成的损失大小,根据危害和损的大小为资产进行相对赋值;资产包括硬件、软件、服务、信息和人员等。
内容二、威胁识别与赋值:即分析资产所面临的每种威胁发生的频率,威胁包括环境因素和人为因素。
内容三、脆弱性识别与赋值:从管理和技术两个方面发现和识别脆弱性,根据被威胁利用时对资产造成的损害进行赋值。
内容四、风险值计算:通过分析上述测试数据,进行风险值计算,识别和确认高风险,并针对存在的安全风险提出整改建议。
内容五、被评估单位可根据风险评估结果防范和化解信息安全风险,或者将风险控制在可接受的水平,为大限度地保障网络和信息安全提供科学依据。
基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,***多是采用二者结合的组合评估方式。
为了决定选择哪种风险评估途径,***首先对所有的系统进行一次初步的风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出***内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个系统的评估结果,而且,***的资源和资金能够应用到能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,组合评估也有缺点:如果初步的风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,终导致结果失准。
项目风险及可行性分析报告-中乾晟数据(图)由南京中乾晟数据分析有限公司提供。南京中乾晟数据分析有限公司是一家从事“项目未来收益报告,偿债能力评级报告,并购估值,风险规避评估”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“中乾晟”品牌拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使南京中乾晟在咨询、调研中赢得了客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!
