风险评估表
详细评估的优点在于:
1、***可以通过详细的风险评估而对信息安全风险有一个的认识,并且准确定义出***的安全水平和安全需求;
2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,***应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,***多是采用二者结合的组合评估方式。
风险分析
风险分析能够加深对风险的理解。它为风险评价提供输入,以确定风险是否需要处理以及***适当的处理策略和方法。风险分析要考虑导致风险的原因和风险源、风险后果及其发生的可能性,识别影响后果和可能性的因素,还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能性及后果来确定风险水平。一个风险事件可能产生多个后果,从而可能影响多重目标。
风险评价
风险评价,又称安全评价,是指在风险识别和估计的基础上,综合考虑风险发生的概率、损失幅度以及其他因素。得出系统发生风险的可能性及其程度,并与公认的安全标准进行比较,确定企业的风险等级,由此决定是否需要采取控制措施,以及控制到什么程度。风险识别和估计是风险评价的基础。只有在充分揭示企业所面临的各种风险和风险因素的前提下,才可能作出较为的评价。企业在运行过程中,原来的风险因素可能会发生变化,同时又可能出现新的风险因素,因此,风险识别必须对企业进行跟踪,以便及时了解企业在运行过程险和风险因素变化的情况。
