风险评估包括风险辨识、风险分析、风险评价三个步骤:
1.风险辨识。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。
2.风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
3. 风险评价。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
风险评估是指,在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
风险评估的主要任务包括:
1、识别组织面临的各种风险;
2、评估风险概率和可能带来的负面影响;
3、确定组织承受风险的能力;
4、确定风险消减和控制的优先等级;
在风险评估过程中,有几个关键的问题需要考虑:
首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?
其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
进行风险评估时,有几个对应关系必须考虑:
1.每项资产可能面临多种威胁;
2.威胁源(威胁代理)可能不止一个;
3.每种威胁可能利用一个或多个弱点。
