作为风险***者,其关心的往往只是项目的系统风险,***价值分析及项目未来收益,因非系统风险完全可以通过合理的***组合而得到分散。由于,风险***项目的总风险仍然没有系统精准的确定方法,因此在实际操作过程中,一般可以经过调查研究或者根据经验数据或***见来评估相关的风险,从而达到规避风险的目的,这是项目价值评估中的一个难点,也是一个重要的环节,它关系到整个项目的成败。
风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。其一般思路是:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。
如果***的商业运作不是很复杂,项目***价值分析,并且***对信息处理和网络的依赖程度不是很高,或者***信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Asses***ent)就可以直接而简单地实现基本的安全水平,项目***价值及收益分析,并且满足***及其商业环境的所有要求。
采用基线风险评估,***根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,项目***价值分析机构,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。***可以根据以下资源来选择安全基线。
