壹、基線評估
1、用基線風險評估,組織根據自己的實際情況(所在行業、業務環境與性質等),對信息系統進行安全基線檢查(拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距),得出基本的安全需求,通過選擇並實施標準的安全措施來消減和控制風險。
2、所謂的安全基線,是在諸多標準規範中規定的壹組安全控制措施或者慣例,這些措施和慣例適用於特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到壹定的安全防護水平。
二、詳細評估
1、詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想,即識別資產的風險並將風險降低到可接受的水平,以此證明管理者所采用的安全控制措施是恰當的。
2、風險識別:“風險識別”是發現、承認和描述風險的過程。風險識別包括對風險源、風險事件、風險原因及其潛在後果的識別。風險識別包括歷史數據、理論分析、有見識的意見、專家的意見,以及利益相關方的需求。
3、風險評價:“風險評價”(risk evaluation)是把風險分析的結果與風險準則相比較,以決定風險和/或其大小是否可接受或可容忍的過程。正確的風險評價有助於組織對風險應對的決策。
三、組合評估
1、基線風險評估耗費資源少、周期短、操作簡單,但不夠準確,適合壹般環境的評估;詳細風險評估準確而細致,但耗費資源較多,適合嚴格限定邊界的較小範圍內的評估。基於在實踐當中,組織多是采用二者結合的組合評估方式。
2、組織首先對所有的系統進行壹次初步的高級風險評估,著眼於信息系統的商務價值和可能面臨的風險,識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產(或系統),這些資產或系統應該劃入詳細風險評估的範圍,而其他系統則可以通過基線風險評估直接選擇安全措施。
3、這種評估途徑將基線和詳細風險評估的優勢結合起來,既節省了評估所耗費的資源,又能確保獲得壹個全面系統的評估結果,而且,組織的資源和資金能夠應用到最能發揮作用的地方,具有高風險的信息系統能夠被預先關註。
擴展資料:
風險評估常用方法
壹、風險因素分析法
風險因素分析法是指對可能導致風險發生的因素進行評價分析,從而確定風險發生概率大小的風險評估方法。其壹般思路是:調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的後果→風險評價。
二、內部控制評價法
內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的壹種方法。由於內部控制結構與控制風險直接相關,因而這種方法主要在控制風險的評估中使用。註冊會計師對於企業內部控制所做出的研究和評價可分為三個步驟:
三、分析性復核法
分析性復核法是註冊會計師對被審計單位主要比率或趨勢進行分析,包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異,以推測會計報表是否存在重要錯報或漏報可能性。常用的方法有比較分析法、比率分析法、趨勢分析法三種。
百度百科-風險評估