風險評估是指在風險事件發生之前,對該事件會造成的影響和損失的可能性進行評估的活動。風險評估可以針對個人的風險、企業的風險、事件的風險、外部環境的風險等等,不同的風險評估雖然評估對象不同,但基本的方法論都是類似的。即風險評估就是對評估對象所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性。
那么,風險評估需要開展哪些工作呢?
通常,風險評估包括風險要素識別、風險分析與風險處置建議三個步驟。其中,風險要素識別工作主要是對評估活動中的各類關鍵要素資產、威脅、脆弱性等進行識別與賦值。資產識別一般包括資產分類、資產調查和資產賦值。威脅識別一般包括威脅分類、威脅調查和威脅分析。脆弱性可從技術和管理兩個方面進行。風險分析是對業務相關的資產、威脅、脆弱性及其各項屬性的關聯分析,綜合進行風險分析和計算。風險處置建議主要針對評估出的風險,提出相應的處置建議。
為了更好地進行風險分析,領域專家建立了風險分析模型(如下圖),將資產、威脅、脆弱性三個基本要素及每個要素相關屬性,進行關聯,并建立各要素之間的相互作用機制關系。
基于風險分析模型,可以進行定性計算和定量計算。定性計算是將風險的各要素資產、威脅、脆弱性等的相關屬性進行量化(或等級化)賦值,然后選用具體的計算方法(如相乘法或矩陣法)進行風險計算;定量計算是通過將資產價值和風險等量化為財務價值的方式來進行計算的一種方法。由于定量計算方法在實際工作中可操作性較差,一般風險計算多采用定性計算方法。風險的定性計算方法實質反映的是被評估主體面臨風險大小的排列排序,確定風險的性質(幾乎無、無關緊要、可接受、較嚴重、非常嚴重等),而不是風險計算值本身的準確性。
通常,利用計算得出的風險值可進行風險等級劃分,風險值越高,風險等級越高。這個等級劃分的過程就是風險分析與評價過程。風險等級一般可劃分為五級:很高、高、中等、低、很低,也可根據項目實際情況確定風險的等級數,如劃分為高、中、低三級。
風險分析結束后,要編制風險評估報告,報告中應對計算分析出的風險給予詳細說明,主要包括:風險對被評估主體的影響范圍、影響程度、依據的法規和證據及風險評價結論等內容。
風險評估的最后一個環節是風險處置建議,可以編寫《風險處置建議書》 對評估中發現的問題給予有針對性的風險處置建議。
下面簡單討論一下涉密集成保密風險評估與管理。我們知道,在涉密信息系統集成保密標準中,對保密風險評估與管理在范圍和頻次上有著明確的要求。即,資質單位每年要開展一次針對業務流程、相關人員、業務場所等全要素的保密風險評估,對發現的保密風險隱患進行分析和評估,還要制定防控措施,并建立相應的監督檢查機制,以期達到全面降低保密風險的目的。
對于涉密集成資質單位或擬申請資質的單位,保密風險評估與管理是一項必須做好的重要工作。具體實施內容如下。
首先,在組織上要成立保密風險評估小組,負責公司保密風險評估工作,并由保密管理辦公室監督檢查評估工作。
其次,在制度保障上,要建立健全相關制度,將防控措施融入到管理制度和業務工作流程當中,在日常監督、定期自查過程中,使保密風險評估與管理活動有章可循。
第三,嚴格遵守標準,制定保密風險評估方案,并嚴格按照方案進行風險評估與管理。
第四,風險評估活動過程中要形成符合規范的風險評估報告。
第五,風險評估活動結束后,資質單位要根據風險評估報告的風險處置建議進行實施,并對風險應對預案的執行情況進行實時監控和反饋,從而達到提高抗風險能力和保密管理能力的目的。
作者:李志剛
|
