風險辨識是指查找企業各業務單元、各項重要經營活動及其重要業務流程中有無風險,有哪些風險。
風險分析是對辨識出的風險及其特征進行明確的定義描述,分析和描述風險發生可能性的高低、風險發生的條件。
風險評價是評估風險對企業實現目標的影響程度、風險的價值等。
風險評估是指在風險事件發生之前或之後(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某壹事件或事物帶來的影響或損失的可能程度。
風險評估(RiskAssessment)是指,在風險事件發生之前或之後(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某壹事件或事物帶來的影響或損失的可能程度。
從信息安全的角度來講,風險評估是對信息資產(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定信息安全需求的壹個重要途徑,屬於組織信息安全管理體系策劃的過程。
在風險評估過程中,有幾個關鍵的問題需要考慮。
首先,要確定保護的對象(或者資產)是什麽?它的直接和間接價值如何?
其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
第三,資產中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?
第四,壹旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
最後,組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
解決以上問題的過程,就是風險評估的過程。
進行風險評估時,有幾個對應關系必須考慮:
每項資產可能面臨多種威脅
威脅源(威脅代理)可能不止壹個
每種威脅可能利用壹個或多個弱點
投資
項目投資風險評估報告是分析確定風險的過程,在國際投資領域中,為減少投資人的投資失誤和風險,每壹次投資活動都必須建立壹套科學的,適應自己的投資活動特征的理論和方法。項目投資風險評估報告是利用豐富的資料和數據,定性和定量相結合,對投資項目的風險進行全面的分析評價,采取相應的措施去減少、化解、規避風險的途徑。
項目投資風險評估報告是在全面系統分析目標企業和項目的基礎上,按照國際通行的投資風險評估方法,站在第三方角度客觀公正地對企業、項目的投資風險進行分析。投資風險評估報告包含了投資決策所關心的全部內容,如企業詳細介紹、項目詳細介紹、產品和服務模式、市場分析、融資需求、運作計劃、競爭分析、財務分析等內容,並在此基礎上,以第三方角度,客觀公正地對投資風險進行評估。[1]
任務
風險評估的主要任務包括:
識別評估對象面臨的各種風險
評估風險概率和可能帶來的負面影響
確定組織承受風險的能力
確定風險消減和控制的優先等級
推薦風險消減對策
可行途徑
在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。
風險評估的操作範圍可以是整個組織,也可以是組織中的某壹部門,或者獨立的信息系統、特定系統組件和服務。影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。