项目风险评估
风险评估
风险评估(Risk Asses***ent) 是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是***确定信息安全需求的一个重要途径,属于***信息安全管理体系策划的过程。
风险评估如何现效果
信息安全管理是以风险管理为核心的,预管理风险必须先知道风险,知道风险的途径是进行风险评估。然而对很多企业来说这个看似非常成熟、或者不应该存在困难的风险评估,却总不能达到预期的效果。
风险评估结论普遍存在的问题是:战略性风险肉眼凡胎也能看出一些端倪,***性风险又不疼不痒。这样的结论对风险控制策略的设计是无足轻重的,甚至实际的风险控制措施并没有针对真实存在的风险,而仅仅因为那是一般性安全架构需要而已。
风险评价
风险评价,又称安全评价,是指在风险识别和估计的基础上,综合考虑风险发生的概率、损失幅度以及其他因素。得出系统发生风险的可能性及其程度,并与公认的安全标准进行比较,确定企业的风险等级,由此决定是否需要采取控制措施,以及控制到什么程度。风险识别和估计是风险评价的基础。只有在充分揭示企业所面临的各种风险和风险因素的前提下,才可能作出较为的评价。企业在运行过程中,原来的风险因素可能会发生变化,同时又可能出现新的风险因素,因此,风险识别必须对企业进行跟踪,以便及时了解企业在运行过程险和风险因素变化的情况。
