風險評估是對信息資產的威脅、弱點和影響,以及其綜合影響導致風險的可能性的評估。
-作為風險管理的基礎,風險評估(Risk
評估)是組織確定其信息安全需求的重要方式,屬於組織信息安全管理體系的規劃過程。風險評估的主要任務包括:
識別組織面臨的風險
評估風險概率和可能的負面影響。
確定組織的風險承受能力。
確定風險降低和控制的優先級別
推薦降低風險的對策
-在風險評估過程中,有幾個關鍵問題需要考慮:第壹,要保護的對象(或資產)是什麽?它的直接和間接價值是什麽?第二,資產的潛在威脅是什麽?導致威脅的問題是什麽?威脅的可能性有多大?第三,資產中可能被威脅利用的弱點在哪裏?使用起來有多簡單?第四,威脅事件壹旦發生,組織會遭受什麽樣的損失或者面臨什麽樣的負面影響?最後,組織應該采取什麽安全措施來最大限度地減少風險造成的損失?
解決上述問題的過程就是風險評估的過程。
這裏需要註意的是,當談到風險管理時,人們經常會提到風險分析(Risk
事實上,對於信息安全風險管理來說,風險分析和風險評估基本上是同義的。當然,如果仔細觀察,風險分析應該是應對風險的總體策略(它包括風險評估和風險管理兩部分,其中風險管理相當於本文中風險降低和風險控制的過程),風險評估只是風險分析過程中的壹項工作,即對可識別的風險進行評估,以確定其可能的危害。
——進行風險評估時,有幾個對應關系必須考慮:
每項資產都可能面臨多重威脅。
可能有多個威脅源(威脅代理)。
每個威脅都可能利用壹個或多個漏洞。
關於盈利預測:有壹個方法可以參考,就是根據利潤表做縱向比較看凈利潤的變化趨勢,同時做月度比較和年度比較看企業的經營狀況;計算銷售凈利率(即凈利潤與銷售額對比),再看資產負債表的資產負債率(即負債總額與總資產對比)。如果銷售凈利率年均增長5%,資產負債率年均增長率為負,說明企業財務狀況良好,利潤增長率高於債務增長率;相反,企業利潤增長是因為債務增速過高,財務風險和經營風險過大;