第1个回答 2005-12-16
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析(Risk Analysis)这个概念,实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。当然,如果细究起来,风险分析应该是处理风险的总体战略(它包括风险评估和风险管理两个部分,此处的风险管理相当于本文的风险消减和风险控制的过程),风险评估只是风险分析过程中的一项工作,即对可识别的风险进行评估,以确定其可能造成的危害。
进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个弱点
更详细的内容,我们会在后面逐步展开。
第2个回答 2005-12-16
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析(Risk Analysis)这个概念,实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。当然,如果细究起来,风险分析应该是处理风险的总体战略(它包括风险评估和风险管理两个部分,此处的风险管理相当于本文的风险消减和风险控制的过程),风险评估只是风险分析过程中的一项工作,即对可识别的风险进行评估,以确定其可能造成的危害。
进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个弱点
更详细的内容,我们会在后面逐步展开。
第3个回答 2020-02-28
风险就是指某种特定的危险事件(事故或意外事件)发生的可能性与其产生的后果的组合。
第4个回答 推荐于2017-11-28
说得简单一点,就是你要做一件事之前你要想想你在这件事的时候会遇到什么样的问题,这些问题出现(发生)的概率各是多少,它们的出现会不会导致你的计划不能完成……等等的问题,就叫风险评估。这是对问题不乐观的一个预见,和效益分析相对。本回答被提问者采纳