风险评估读书笔记(一)
1、对风险本身的界定。包括风险发生的可能性、风险强度、风险持续时间、风险发生的区域及关键风险点。
2、对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的、是否会引发其他的相关风险、风险对企业的作用范围等。
3、对风险后果的界定。在损失方面:如果风险发生,对企业会造成多大的损失?如果避免或减少风险,企业需要付出多大的代价?在冒风险的利益方面:如果企业冒了风险,可能获得多大的利益?如果避免或减少风险,企业得到的利益又是多少?
风险评估读书笔记(二)
风险评估的三个步骤分别是风险辨识、风险分析和风险评价。
1、风险辨识。风险辨识指的是查找企业各业务单元、各项重要经营活动及重要业务流程中有无风险,有的话都有哪些风险。
2、风险分析。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
3、风险评价。风险评价是评估风险对企业实现目标的影响程度。
在风险评估过程中,可以采用多种操作方法,包括基于知识的分析方法、基于模型的分析方法、定性分析(可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等)和定量分析(可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等),不过无论何种方法,共同的目标都是找出信息资产面临的风险及其影响,以及目前安全水平与安全需求之间的差距。