什么是风险评估?

领松（GMP）

风险评估
________________________________________
风险评估（Risk Assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
________________________________________
什么是风险评估
风险评估任务
风险评估过程注意事项
风险评估的三种可行途径(基线评估 详细评估 组合评估)
风险评估的常用方法
风险评估项目建议书格式
________________________________________
什么是风险评估
________________________________________
从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。
风险评估任务
________________________________________
风险评估的主要任务包括：
识别评估对象面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
风险评估过程注意事项
________________________________________
在风险评估过程中，有几个关键的问题需要考虑。
首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？
其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？
第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？
第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？
最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？
解决以上问题的过程，就是风险评估的过程。
进行风险评估时，有几个对应关系必须考虑：
每项资产可能面临多种威胁
威胁源（威胁代理）可能不止一个
每种威胁可能利用一个或多个弱点
风险评估的三种可行途径
________________________________________
在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。
风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
基线评估
如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估（Baseline Risk Assessment）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。
采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：
国际标准和国家标准，例如BS 7799-1、ISO 13335-4；
行业标准或推荐，例如德国联邦安全局IT 基线保护手册；
来自其他有类似商务目标和规模的组织的惯例。
当然，如果环境和商务目标较为典型，组织也可以自行建立基线。
基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。
基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。
详细评估
详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。
详细评估的优点在于：
1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；
2、详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。
组合评估
基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于次实践当中，组织多是采用二者结合的组合评估方式。
为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。
这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。
风险评估的常用方法
________________________________________
在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。
基于知识的分析方法
在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。
风险评估项目建议书格式
________________________________________
风险评估项目建议书
任务名称　
建议单位及地址　
　联系人及
联系方式　
建议评估模式*　非应急评估（ ） 应急评估 （ ）
风险来源和性质　风险名称　
进入食物链方式　
污染的食物种类　
在食物中的含量　
风险涉及范围　
相关检验数据和结论　
已经发生的健康影响　
国内外已有的管理措施　
其他有关信息和资料　（包括信息来源、获得时间、核实情况）　*建议采用应急评估应当提供背景情况和理由。
建议单位：（签章） 日期：
相关分词： 风险评估 风险 险评 评估

lunmulunmu

风险评估：找到影响事物的根本原因，提出整改措施。

ziyiwoaini

抢座，学习学习！

yuansoul

1、the process of finding out how much risk is involved in doing something
2、the act of identifying possible risks, calculating how likely they are to happen and estimating what effects they might have, especially in the context of a company taking responsibility for the safety of its employees or members of the public

yuansoul

用龙族文字去解释唐老鸭和米老鼠的语言，不太容易理解。

liyinling

谢谢楼主分享

小德

{:soso_e142:}3Q 学习了 {:soso_e142:}{:soso_e142:}{:soso_e142:}{:soso_e142:}

药仙

楼主实际上也不懂什么是风险评估，要是懂就不会发这个帖子

领松（GMP）

药仙 发表于 2014-2-21 11:56
楼主实际上也不懂什么是风险评估，要是懂就不会发这个帖子

那你发一个懂风险评估的帖子，我们学习学习哈。

领松（GMP）

药仙 发表于 2014-2-21 11:56
楼主实际上也不懂什么是风险评估，要是懂就不会发这个帖子

你可能还不知它的出处。无奈。

药仙

领松（GMP） 发表于 2014-2-21 17:16
你可能还不知它的出处。无奈。

我没有不要知道它的出处，作为蒲公英专家对风险管理如此理解是不应该的，我们大家已经到实际应用阶段了，你粘贴一段理论有用吗？，药仙论道就是针对论坛里的帖子进行评价，有得罪之处敬请谅解

领松（GMP）

药仙 发表于 2014-2-22 10:20
我没有不要知道它的出处，作为蒲公英专家对风险管理如此理解是不应该的，我们大家已经到实际应用阶段了， ...

请你结合当时发帖的背景去评价。我想告诉你当时是针对到处都弥漫风险评估的培训丶说教，把人们的思维搞乱了的背景下，知道吗！药仙老弟。

领松（GMP）

药仙 发表于 2014-2-22 10:20
我没有不要知道它的出处，作为蒲公英专家对风险管理如此理解是不应该的，我们大家已经到实际应用阶段了， ...

你知道新版GMP究竟需要风险评估的是哪些吗？

药仙

领松（GMP） 发表于 2014-2-22 23:17
你知道新版GMP究竟需要风险评估的是哪些吗？

这个我真不知道，我只知道风险需要实践去做些事情，而我们正在做，而不是像楼主那样把条款当令箭以令诸侯。风险贯穿于验证、偏差、关键工艺参数、关键检验方法的确定以及纠正与预防措施的制定过程，不是几个条款所能及的。还望老兄详细深入探讨。

开羽

yuansoul 发表于 2013-9-24 12:30
1、the process of finding out how much risk is involved in doing something
2、the act of identifyin ...

你是火星人，要用火星文字解释一下

领松（GMP）

药仙 发表于 2014-2-23 11:56
这个我真不知道，我只知道风险需要实践去做些事情，而我们正在做，而不是像楼主那样把条款当令箭以令诸侯 ...

做为药企随着10 版GMP刚々涉足风险管理，不要搞的草木皆兵，不知所措，先把带有风险评估的条款做到位了，谈何容易。药仙所说例举的全包含在其中，不信老弟你查查。

hldmfw

学习学习！

领松（GMP）

药仙 发表于 2014-2-23 11:56
这个我真不知道，我只知道风险需要实践去做些事情，而我们正在做，而不是像楼主那样把条款当令箭以令诸侯 ...

——弄懂这六个词的释义，也就理解了“风险评估”
https://www.ouryao.com/forum.php? ... 13&fromuid=4692

小心心

我觉得风险这东西想做好，不单单是理论，也不单单是实践的问题
它和人的思维方式、价值观念......等有直接的关联
就拿质量risk来说
1、如果你认为质量任何时候都是最重要的，那么它就很简单，绝顶聪明的人很多
2、如果你认为利益是最重要的，但是高质量能够带来高回报，那么实施起来也不会难
3、如果你认为利益是最重要的，而且想要利用好的质量带来好的回报目前看来，看不到希望，那么这个风险永远都是自己骗自己

现阶段我们的观念还处在3这里，或者在2和3之间

药仙

领松（GMP） 发表于 2014-2-24 11:11
——弄懂这六个词的释义，也就理解了“风险评估”
https://www.ouryao.com/forum.php?mod=viewthread&tid ...

你理解了吗