操作风险指在项目及其融资所经历的漫长时间里,项目成本会发生变化或者劳力、运输或者其他要素会因外部干扰或管理不善而产生混乱的风险。操作风险还包括无法达到生产目标或者质量要求,拙劣的工程和设计工作,未预计到的、因腐蚀或磨损造成的高维护成本,能源设备和材料的价格上升,汇率变动以及其他因素。不可抗力风险此类风险涉及与大自然的行为有关的灾难,比如、飓风或其他与气候相关的灾难、以及其他人力无法控制的事件。
风险评估的操作范围
可以是整个***,也可以是***中的某一部门,或者***的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与***的环境和安全要求相符合。***应该针对不同的情况来选择恰当的风险评估途径。实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
采用基线风险评估
***根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。***可以根据以下资源来选择安全基线
