风险评估是指,在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估报告是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础,风险评估是***确定信息安全需求的一个重要途径,属于***信息安全管理体系策划的过程。
按照一般意义,我们常常所说的风险分为两大类,一种是不可预知的,一种是可预知的。既然是不可预测的风险,有预防的想法,恐怕也是无从做起,只能是在风险到来的时候直接对问题做出反应。而这里我们主要针对的是那些能够预测的风险,在明晰它们的基础上,***风险评定,想办法去控制和降低它们。信息化项目的项目特性,注定了实施过程中的风险有综合风险,也有阶段风险。
风险评估也称***度评价或安全评价,它以实际系统安全为目的,应用安全系统工程和工程技术方法,对系统中固有的或潜在的***源进行定性和定量分析,掌握系统发生***的可能性及其危害程度,从而制定出防灾措施和管理决策的一项工程。
风险评估的目的
风险评估对于各行业、系统内部的评定的作用非常多,如评优、决定项目的可行性、为了制订规章制度以供参考等。对于***业的风险评估,通常有以下3种情况:
1、为是否承保提供决策,并厘定费率;
2、控制***标的的赔付率;
3、体现服务质量。
