风险的等级水平不仅取决于风险本身,还与现有风险控制措施的充分性和有效性密切相关。在进行控制措施评估时,需要解决的问题包括: 对于一个具体的风险,现有的控制措施是什么?在实际中,控制措施是否在以预定方式正常运行,当需要时能否证明这些控制措施是有效的。 这些控制措施是否足以应对风险,是否可以将风险控制在可接受水平? 在实际中,控制措施是否在以预定方式正常运行,当需要时能否证明这些控制措施是有效的?对于特定的控制措施或一套相关控制措施的有效性水平,可以进行定性、半定量或定量的表示。但在大多数情况下,难以保证高度的精i确性。然而,对风险控制效果的测量进行表述和记录是有价值的。因为在对现有控制措施进行改进以及实施不同的风险应对措施时,这些信息有助于决策者进行比较和判断。
风险评估是指,在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估报告是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。除此之外,在风险评估中常用的理论概率分布还有离散分布、等概率分布、阶梯形分布、三角形分布和对数正态分布等。作为风险管理的基础,风险评估是***确定信息安全需求的一个重要途径,属于***信息安全管理体系策划的过程。
风险评估的基本流程包括:风险识别、风险分析、风险评价,这三项内容一般表述为由前至后的三个步骤,但这三个步骤顺序却不是一成不变的,我们可以根据情况需要对这三个步骤进行重新组合。另外,识别、分析、评价,这是一个通用的评估基本流程,是风险管理工作的一部分。因此***方进行风险评估,通常是为了深入了解项目整体运营系统中,究竟面临什么风险。可以嵌入任何一个有风险存在或分析问题的管理环境中。
