 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
几种项目风险评估方法比较
下载积分：1000
内容提示：几种项目风险评估方法比较
文档格式：PDF|
浏览次数：19|
上传日期： 02:05:53|
文档星级：
该用户还上传了这些文档
几种项目风险评估方法比较
官方公共微信404missing-搜狐出自 MBA智库百科()
风险评估（Risk Assessment）
　　风险评估（Risk Assessment）是指在发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。
　　（1）对风险本身的界定。包括风险发生的可能性；风险强度；风险持续时间；风险发生的区域及关键风险点。
　　（2）对风险作用方式的界定。包括风险对的影响是直接的还是间接的；是否会引发其他的相关风险；风险对企业的作用范围等。
　　（3）对风险后果的界定。在损失方面：如果风险发生，对企业会造成多大的损失？如果避免或减少风险，企业需要付出多大的代价？在冒风险的利益方面：如果企业冒了风险，可能获得多大的利益？如果避免或减少风险，企业得到的利益又是多少？
　　风险评估的主要任务包括：
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
　　在风险评估过程中，有几个关键的问题需要考虑。
　　首先，要确定保护的对象（或者）是什么？它的直接和间接价值如何？
　　其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？
　　第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？
　　第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？
　　最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？
　　解决以上问题的过程，就是风险评估的过程。
　　进行风险评估时，有几个对应关系必须考虑：
每项资产可能面临多种威胁
威胁源（威胁代理）可能不止一个
每种威胁可能利用一个或多个弱点
　　在的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。
　　风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
　　如果组织的不是很复杂，并且组织对和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，（）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。
　　采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：
和，例如、；
或推荐，例如德国联邦安全局IT 基线保护手册；
来自其他有类似商务目标和规模的组织的惯例。
　　当然，如果环境和商务目标较为典型，组织也可以自行建立基线。
　　基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。
　　基线评估的目标是建立一套满足基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。
　　详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。
　　详细评估的优点在于：
　　1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；
　　2、详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和的边界。
　　基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于次实践当中，组织多是采用二者结合的组合评估方式。
　　为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。
　　这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。
　　在风险评估过程中，可以采用多种操作方法，包括、、和，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。
　　一、基于知识的分析方法
　　在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
　　基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。
　　基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：
　　1.会议讨论；
　　2.对当前的信息安全策略和相关文档进行复查；
　　3.制作问卷，进行调查；
　　4.对相关人员进行访谈；
　　5.进行实地考察。
　　为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种，Cobra 就是典型的一种。
　　二、基于模型的分析方法
　　2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。
　　与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。
　　三、定量分析
　　进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。
　　定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值，风险评估的整个过程和结果就都可以被量化了。
　　简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。中有几个重要的概念：
　　暴露因子(Exposure Factor，EF)—— 特定威胁对特定资产造成损失的百分比，或者说损失的程度。
　　单一损失期望(Single Loss Expectancy，SLE)—— 或者称作SOC(Single OccuranceCosts)，即特定威胁可能造成的潜在损失总量。
　　年度发生率(Annualized Rate of Occurrence，ARO)—— 即威胁在一年内估计会发生的频率。
　　年度损失期望(Annualized Loss Expectancy，ALE)—— 或者称作EAC(EstimatedAnnual Cost)，表示特定资产在一年内遭受损失的预期值。
　　考察定量分析的过程，从中就能看到这几个概念之间的关系：
　　(1) 首先，识别资产并为资产赋值；
　　(2) 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF(取值在0％~100%之间)；
　　(3) 计算特定威胁发生的频率，即ARO；
　　(4) 计算资产的SLE：
　　SLE = Asset Value × EF
　　(5) 计算资产的ALE：
　　ALE = SLE × ARO
　　这里举个例子：假定某500,000 建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计是45％。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是45,000 美元。
　　我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性(可以用ARO 表示)，另一个就是威胁事件可能引起的损失(用EF 来表示)。
　　理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。
　　四、定性分析
　　定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素(资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等)的大小或高低程度定性分级，例如“高”、“中”、“低”三级。
　　定性分析的操作方法可以多种多样，包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。
本条目对我有帮助132
&&如果您认为本条目还有待完善，需要补充新内容或修改错误内容，请。
本条目相关文档
& 63页& 66页& 39页& 22页& 8页& 10页& 88页& 24页& 9页& 33页
本条目相关资讯
日 日 日 日 日 日
本条目由以下用户参与贡献
,,,,,,,,,,.
(window.slotbydup=window.slotbydup || []).push({
id: '224685',
container: s,
size: '728,90',
display: 'inlay-fix'
评论(共5条)提示:评论内容为网友针对条目"风险评估"展开的讨论，与本站观点立场无关。
发表评论请文明上网，理性发言并遵守有关规定。风险评估方法和标准_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
风险评估方法和标准
上传于||暂无简介
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
下载文档到电脑，查找使用更方便
还剩4页未读，继续阅读
你可能喜欢安全风险评估_百度百科
安全风险评估
识别危害是安全风险评估的重要部分。若不能完全找出安全事故危害的所在，就没法对每个危害的风险作出评估，并对安全事故危害作出有效的控制。这里简单介绍如何识别安全事故的危害。
安全风险评估风险评估
在一个企业中，诱发安全事故的因素很多，“安全”能为全面有效落实工作提供基础资料．并评估出不同环境或不同时期的安全危险性的重点，加强安全管理，采取宣传教育、行政、技术及监督等措施和手段，推动各阶层员工做好每项安全工作。使企业每位员工都能真正重视安全工作，让其了解及掌握基本安全知识，这样，绝大多数安全事故均是可以避的。这也是安全风险评估的价值所在。
当任何生产经营活动被鉴定为有安全事故危险性时，便应考虑怎样进行评估工作，以简化及减少风险评估的次数来提高效率。安全风险评估主要由以下3个步骤所组成：识别安全事故的危害、评估危害的风险和控制风险的措施及管理。
安全风险评估安全事故
识别危害是安全风险评估的重要部分。若不能完全找出安全事故危害的所在，就没法对每个危害的风险作出评估，并对安全事故危害作出有效的控制。这里简单介绍如何识别安全事故的危害。
(1)危险材料识别一识别哪些东西是容易引发安全事故的材料，如易燃或爆炸性材料等，找出它们的所在位置和数量，处理的方法是否适当。
(2)危险工序识别一找出所有涉及高空或、使用或产生易燃材料等容易引发安全事故的工序，了解企业是否已经制定有关安全施工程序以控制这些存在安全危险的工序，并评估其成效。
(3)用电安全检查一电气安全事故是当今企业的一个带有普遍性的安全隐患，对电气的检查是每一个必不可少的一项内容。用电安全检查包括检查电气设备安装是否符合安全要求、插座插头是否严重超负荷、电线是否老化腐蚀、易燃工作场所是否有防静电措施、电器设备有无定期维修保养以避免散热不良产生热源等。
(4)工作场地整理一检查工场是否存在安全隐患，如是否堆积大量的可燃杂物(如纸张、布碎、垃圾等)，材料有否摆放错误，是否牢固等等。
(5)工作场所环境安全隐患识别一工作场所由设施、工具和人三者组成一个特定的互相衔接的有机组合的环境，往往因为三者之间的联系而可能将安全事故的危害性无限扩展。识别环境中的安全危险性十分重要，如一旦发生安全事故，人员是否能立即撤离，电源是否能立即切断等等。
(6)安全事故警报一找出工作场所是否有安全事故警报装置或安排，并查究它们能否操作正常。
(7)其它一留意工作场所是否有其他机构的员工在施工，例如：当装修工程进行，装修工人所使用的工具或材料均可增加安全隐患。
安全风险评估控制风险
风险控制就是使风险降低到企业可以接受的程度，当风险发生时，不至于影响企业的正常业务运作。
1．选择安全控制措施
为了降低或消除安全体系范围内所涉及到的被评估的风险，企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以的结果作为依据，判断与威胁相关的薄弱点，决定什么地方需要保护，采取何种保护手段。
安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高，那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高，则也是不合适的。但是，如果预算不足以提供足够数量和质量的控制措施，从而导致不必要的风险，则应该对其进行关注。
通常，一个控制措施能够实现多个功能，功能越多越好。当考虑总体安全性时，应该考虑尽可能地保持各个功能之间地平衡，这有助于总体安全有效性和效率。
2．风险控制
根据控制措施的费用应当与风险相平衡的原则，企业应该对所选择的安全控制措施严格实施以及应用。达到降低风险的途径有很多种，下面是常用的几种手段：
1)免风险：比如：改善施工程序及工作环境等。
2)转移风险：比如：进行投保等。
3)减少威胁：比如：阻止具有恶意的软件的执行，避免遭到攻击。
4)减少薄弱点：比如：对员工进行安全教育，提高员工的安全意识。
5)进行安全监控：比如：及时对发现的可能存在的安全隐患进行整改，及时做出响应。
任何生产在一定程度上都存在风险，绝对的安全是不存在的。当企业根据的结果，完成实施所选择的控制措施后，会有残余的风险。为确保企业的安全，也应该控制在企业可以接受的范围内。
是对残余风险进行确认和评价的过程。在实施了安全控制措施后，企业应该对安全措施的实施情况进行评审，即对所选择的控制措施在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险，应该考虑增加投资。
风险是随时间而变化的，风险管理是一个动态的管理过程，这就要求企业实施动态的与风险控制，即企业要定期进行风险评估。一般而言，当出现以下情况时，应该重新进行风险评估：
1)当企业新增时；
2)当重大变更时；
3)发生严重安全事故时；
4)企业认为非常必要时。
一个企业要做到防患于未然，安全事故危害的风险评估工作是非常重要的，同时，要配合完善的监察和检讨制度，并有良好的记录。做好，是保护企业的宝贵人力资源、财产和信誉的上策
安全风险评估安全风险
安全风险评估相关政策
安全风险评估是信息安全保障工作的基础和重要环节，《国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）》、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国信办[2006]5号）》等相关文件都明确提出信息安全风险评估的必要性，及对信息安全风险评估工作的重视。
安全风险评估风险管理
安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。工作贯穿信息系统整个生命周期，包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。
安全风险评估评估过程
◆资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等；
◆威胁识别与赋值：即分析资产所面临的每种威胁发生的频率，威胁包括环境因素和人为因素；
◆脆弱性识别与赋值：从管理和技术两个方面发现和识别脆弱性，根据被威胁利用时对资产造成的损害进行赋值；
◆风险值计算：通过分析上述测试数据，进行风险值计算，识别和确认高风险，并针对存在的安全风险提出整改建议。
◆被评估单位可根据结果防范和化解，或者将风险控制在可接受的水平，为最大限度地保障网络和信息安全提供科学依据。
安全风险评估评估内容
综合国内外相关标准，展现信息系统当前的安全现状，为下一步控制和降低安全风险、改善安全现状、实施信息系统的风险管理提供决策依据。
◆主机：对主机的配置、服务进行安全评估
◆系统安全评估：对各类计算机系统（Windows、等）的配置、服务和安全防护能力进行评估
◆网络安全评估: 对网络设备、网络服务、以及Web应用等进行评估，得出评估报告
◆业务系统评估: 评估常见业务应用（ERP、OA、CRM等）系统}