什么是风险评估

    风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。　　

 

互联通风险评估的内容

    （1）对风险本身的界定。包括风险发生的可能性；风险强度；风险持续时间；风险发生的区域及关键风险点。

    （2）对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的；是否会引发其他的相关风险；风险对企业的作

         用范围等。

    （3）对风险后果的界定。在损失方面：如果风险发生，对企业会造成多大的损失？如果避免或减少风险，企业需要付出多

         大的代价？在冒风险的利益方面：如果企业冒了风险，可能获得多大的利益？如果避免或减少风险，企业得到的利益

         又是多少？

 

互联通风险评估任务

    ·识别组织面临的各种风险

    ·评估风险概率和可能带来的负面影响

    ·确定组织承受风险的能力

    ·确定风险消减和控制的优先等级

    ·推荐风险消减对策

 

风险评估注意事项

    在风险评估过程中，有几个关键的问题需要考虑。

    首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

    其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

    第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？

    第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

    最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？

    解决以上问题的过程，就是风险评估的过程。

    进行风险评估时，有几个对应关系必须考虑：

        ·每项资产可能面临多种威胁

        ·威胁源（威胁代理）可能不止一个

        ·每种威胁可能利用一个或多个弱点

 

互联通风险评估的方法

    在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。

    如果企业的商业运作不是很复杂，并且企业对信息处理和网络的依赖程度不是很高，或者企业信息系统多采用普遍且标准化的模式，互联通将采用基线风险评估（Baseline Risk Assessment）直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。

    采用基线风险评估，企业根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。企业可以根据以下资源来选择安全基线：

国际标准和国家标准，例如BS7799(ISO-27001)；

    ·行业标准或推荐，例如中国人民银行公告〔2009〕第7号全文，规定非金融机构从事支付清算业务需提供技术安全认证证明；

    ·来自其他有类似商务目标和规模组织的惯例。

    ·当然，如果环境和商务目标较为典型，企业也可以自行与互联通讨论后建立自己的基线。