什么是风险评估 风险评估常用方法

什么是风险评估 风险评估常用方法

风险评估的定义及常用方法如下：
一、风险评估：
风险评估（Risk Assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

二、常用方法：
1、风险因素分析法
其一般思路是：调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
2、模糊综合评价法
3、内部控制评价法
内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。
4、分析性复核法
分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析，包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异，以推测会计报表是否存在重要错报或漏报可能性。
5、定性风险评价法
定性风险评价法是指那些通过观察、调查与分析，并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。
6、风险率风险评价法
风险率风险评价法是定量风险评价法中的一种。
三、任务：

1、确定风险评估的主要任务；
2、识别评估对象面临的各种风险；
3、评估风险概率和可能带来的负面影响；
4、确定组织承受风险的能力；
5、确定风险消减和控制的优先等级；
6、推荐风险消减对策。

风险评估(Risk Assessment) 是指，在风险事件发生之前或之后(但还没有结束)，该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲，风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。
在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分
析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）
分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安
全水平与组织安全需求之间的差距。
一、基于知识的分析方法
在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安
全标准之间的差距。
基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标
和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。
采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径
采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，
从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制
风险的目的。
基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：
• 会议讨论；
• 对当前的信息安全策略和相关文档进行复查；
• 制作问卷，进行调查；
• 对相关人员进行访谈；
• 进行实地考察。
为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟
订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最
终的推荐报告。市场上可选的此类工具有多种，Cobra 就是典型的一种。
二、基于模型的分析方法
2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开
发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象
是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及
所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统
的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。
与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象
的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析
结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操
作的效率；等等。
目前CORAS 还处于实验阶段，相关信息可以参见：
http://www.bitd.clrc.ac.uk/Activity/CORAS
三、定量分析
进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性
分析的方法。
定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币
金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成
本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。
简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念：
􀂄 暴露因子（Exposure Factor，EF）—— 特定威胁对特定资产造成损失的百分比，
或者说损失的程度。
􀂄 单一损失期望（Single Loss Expectancy，SLE）—— 或者称作SOC（Single Occurance
Costs），即特定威胁可能造成的潜在损失总量。
􀂄 年度发生率（Annualized Rate of Occurrence，ARO）—— 即威胁在一年内估计
会发生的频率。
􀂄 年度损失期望（Annualized Loss Expectancy，ALE）—— 或者称作EAC（Estimated
Annual Cost），表示特定资产在一年内遭受损失的预期值。
考察定量分析的过程，从中就能看到这几个概念之间的关系：
（1） 首先，识别资产并为资产赋值；
（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值
在0％~100%之间）；
（3） 计算特定威胁发生的频率，即ARO；
（4） 计算资产的SLE：
SLE = Asset Value × EF
（5） 计算资产的ALE：
ALE = SLE × ARO
这里举个例子：假定某公司投资500,000 美元建了一个网络运营中心，其最大的威胁是
火灾，一旦火灾发生，网络运营中心的估计损失程度是45％。根据消防部门推断，该网络
运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以
上数据，该公司网络运营中心的ALE 将是45,000 美元。
我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性
（可以用ARO 表示），另一个就是威胁事件可能引起的损失（用EF 来表示）。
理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供
参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的
数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分
析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析
方法的已经比较少了。
四、定性分析
定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分
析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，
弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、
“中”、“低”三级。
定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi 方法）、检查列表
（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。
与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析
没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖
大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；
此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。
组织可以根据具体的情况来选择定性或定量的分析方法。

介绍一下风险评估的五种方法。这几种方法各有所长、各有所重，针对不同的风险识别对象，可灵活运用，或专取一种，或几种组合，主要应考虑其有效性和员工的接受性，最终的目的是准确地识别出所有可能的有价值的风险，为后续的风险评估和风险控制提供可靠的依据。
1 现场观察法：通过对工作环境的现场观察，以查找现场隐患的方式发现存在的危险源，适应范围较广。
优点：现场观察法适用各场所及作业环节；缺点：①从事现场观察的人员，要求具有安全技术知识和掌握了完善的职业健康安全法规、标准；②不适应于大面积的观察。
2 安全检查表法SCL：它是由一些对工艺过程、机械设备和作业情况熟悉并富有安全技术、安全管理经验的人员，根据有关规范、标准、工艺、制度等事先对分析对象进行详尽分析和充分讨论，列出检查项目和检查要点等内容并编制成表。   分析者依据现场观察、阅读系统文件、与操作人员交谈、以及个人的理解，通过回答安全检查表所列的问题，发现系统设计和操作等各个方面与标准、规定不符的地方，记下差异。
优点：安全检查表是定性分析的结果，是建立在原有的安全检查基础之上，简单易学，容易掌握，尤其适用于岗位员工进行危害因素辨识，对其起到很好的提示作用，便于全面辨识危害因素。

缺点：检查表约束限制了人们主管能动性的发挥，对不在检查表中反映的问题，可能会被忽视，因此，采用该方法可能会漏掉以往未曾出现过的一些新的危害。
应用范围：安全检查表一般适用于比较成熟（或传统）的行业，领域的危害因素辨识，且需要事先编制检查表，以对照进行辨识。安全检查表法尤其适用于一线岗位员工进行危害因素辨识，如，作业活动开始前，或对设备设施的检查等等。只能对已经有的或传统的业务对象、活动进行检查，对新业务活动、新行业领域的危害因素辨识不适用此法。
危害因素辨识所使用的检查表与安全检查时所使用的检查表并不完全一致，它们大致相同，但又各有侧重，因此，不应直接使用安全检查表所用的检查表进行危害因素辨识，应在其基础上进行修改、补充，最好是重新编制。
3 预先危险性分析法PHA：预先危险性分析又称初步危险性分析，是在进行某项工程活动（包括设计、施工、生产、维修等）之前，对系统存在的各种危险因素（类别、分布）、出现条件和事故可能造成的后果进行宏观、概略分析的系统安全分析方法。    
优点：在最初构思产品设计时，即可指出存在的主要危险，从一开始便可采取措施排除、降低和控制它们，避免由于考虑不周造成损失。在进行庞大、复杂系统危害因素辨识，可以首先通过预先危险性分析，分析判断系统主要危险所在，从而有针对性地对主要风险进行深入分析。

缺点：易受分析人员主观因素影响。另外，预先危险性分析一般都是概略性分析，只能提供初步信息，且精准程度不高，复杂或高风险系统需在此基础上，借助其他方法再做进一步分析。PHA只能提供初步信息，不够全面，也无法提供有关风险及其最佳风险预防措施方面的详细信息。
应用范围：预先危险性分析一般用于项目评价的初期，通过预先危险性分析过滤一些风险性低的环节、区域，同时，也为在其它风险性高的环节、区域，进一步采用其它方法进行深入的危害因素辨识创造了条件。适用于固有系统中采取新的方法，接触新的物料、设备的危险性评价。当只希望进行粗略的危险和潜在事故情况分析时，也可以用PHA对已建成的装置进行分析。

4 工作危害分析法JHA：工作危害分析（JHA）又称工作安全分析(JSA)是目前欧美企业在安全管理中使用最普遍的一种作业。安全分析与控制的管理工具，是为了识别和控制操作危害的预防性工作流程。通过对工作过程的逐步分析，找出其多余的、有危险的工作步骤和工作设备/设施，制定控制和改进措施，以达到控制风险、减少和杜绝事故的目标。
优点：该方法简单明了，通俗易懂，尤其是目前已开发JSA/JHA方法标准，可操作性强，便于实施。使作业人员更加清楚地认识到作业过程的风险，使预防措施更有针对性、可操作性。

缺点：该方法在危害因素辨识方面并无太多优势，它并不是推荐用于危害因素辨识的专门方法，但由于其简单明了、可操作，一般用于非常规作业活动的风险管理。
应用范围：工作危害分析一般应用于一些作业活动，如对新的作业、非常规（临时）的风险管理（当然，包括危害因素辨识），或者在评估现有的作业，改变现有的作业时，开展工作危害分析。工作危害分析不适用于对连续性工艺流程以及设备、设施等方面的危害因素辨识。

5 故障类型及影响分析法FMEA：
故障类型和影响分析就是在产品设计过程中，通过对产品各组成单元潜在的各种故障类型及其对产品功能的影响进行分析。并把每一个故障按它的严重程度予以分类，提出可以采取的预防、改进措施，以提高是将工作系统分别分割为子系统、设备或原件，逐个分析各自可能发生的故障类型及产生的影响，以便采取相应的防治措施，提高系统的安全性。
优点：系统化表述工具；创造了详细的可审核的危害因素辨识过程；适用性较广，广泛适用于人力、设备和系统失效模式，以及软硬件等。

缺点：该方法只考虑了单个的失效情况，而无法把这些失效情况综合在一起去考虑；该方法需要依靠哪些对该系统、装置有着透彻了解的专业人士的参与；另外，该方法耗时费力，花费较高。
应用范围：故障类型及影响分析广泛应用于制造行业产品生命周期的各个阶段，尤其适用于产品或工艺设计阶段的危害因素辨识。如果说要做好作业活动的危害因素辨识需要细化活动步骤，那么，设备、装置的危害因素辨识就要细化其功能单元，在此基础上，才能做好设备、装置的危害因素辨识，FMEA方法就是范例。