1.风险评估有哪几个步骤
原发布者:pengxing105
风险评估实施步骤一风评准备1.确定风险评估的目标2.确定风险评估的范围3.组建适当的评估管理与实施团队4.进行系统调研,采取问卷调查、现场询问等方式,至少包括以下内容:•业务战略及管理制度•主要的业务功能和要求•网络结构与网络环境,包括内部链接好外部链接•系统边界•主要的硬件、软件•数据和信息•系统和数据的敏感性•支持和使用系统的人员5.制定方案,为之后的风评实施提供一个总体计划,至少包括:•确定实施评估团队成员•工作计划及时间进度安排6.获得最高管理者对风险评估工作的支持二资产识别资产的价值是按照资产在保密性、完整性和可用性上达到的程度或者其未达到时造成的影响程度来决定1.资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类2.资产的赋值(五个等级:可忽略、低、中等、高、极高)•保密性赋值:根据资产在保密性上的不同要求,对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响,划分为五个不同的等级•完整性赋值:根据资产在完整性上的不同要求,对应资产在完整性上缺失时对整个组织的影响,划分为五个不同的等级•可用性赋值:根据资产在可用性上的不同要求,对应资产在可用性上应达成的不同程度,划分为五个不同的等级•3.资产重要性等级(五个等级:很低、低、中、高、很高)资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法,可以根据组
2.什么是理财产品风险测评
1. 理财风险测评 是指:
(1)在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。
(2)即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
(3)目的是为了让理财机构更好的了解你的风险承受能力,然后针对你的风险承受能力给你介绍合适的理财产品。
2. 不同的理财机构风险测评的方式会有不同,不过一般会有2种方式,
(1)是网上自助理财的话一般是网上自行测评;
(2)是在理财机构当面进行测评,当然,如果你的资产足够多,也可以邀约理财专员到你所提供的地方进行测评。
3. 测评的内容主要是:
(1)问一些申请人理财投资的经验、对投资收益期望值以及投资亏损接受程度等等,(2)一般是通过问卷调查的形式进行的,只需按问卷的问题如实回答就行。
3.什么是风险评估 风险评估常用方法
风险评估(Risk Assessment) 是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。
即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分 析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative) 分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安 全水平与组织安全需求之间的差距。
一、基于知识的分析方法 在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安 全标准之间的差距。基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标 和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。
采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径 采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制 风险的目的。基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括:• 会议讨论;• 对当前的信息安全策略和相关文档进行复查;• 制作问卷,进行调查;• 对相关人员进行访谈;• 进行实地考察。
为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟 订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最 终的推荐报告。市场上可选的此类工具有多种,Cobra 就是典型的一种。
二、基于模型的分析方法2001 年1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开 发了一个名为CORAS 的项目,即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它的评估对象 是对安全要求很高的一般性的系统,特别是IT 系统的安全。
CORAS 考虑到技术、人员以及 所有与组织安全相关的方面,通过CORAS 风险评估,组织可以定义、获取并维护IT 系统 的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象 的模型来进行的。
CORAS 的优点在于:提高了对安全相关特性描述的精确性,改善了分析 结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互操 作的效率;等等。目前CORAS 还处于实验阶段,相关信息可以参见:http://www.bitd.clrc.ac.uk/Activity/CORAS 三、定量分析 进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性 分析的方法。
定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币 金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成 本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念: