详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
风险识别
"风险识别"(risk identification)是发现、承认和描述风险的过程。风险识别包括对风险源、风
项目投资价值及未来收益(风险规避分析)
详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
风险识别
"风险识别"(risk identification)是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、的意见,以及利益相关方的需求。
风险评价
"风险评价"(risk evaluation)是把风险分析的结果与风险准则相比较,以决定风险和/或其大小是否可接受或可容忍的过程。正确的风险评价有助于组织对风险应对的决策。
详细评估的优点在于:
1、组织可以通过详细的风险评估而对信息安全风险有一个的认识,并且准确定义出组织的安全水平和安全需求;
2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。
为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个系统的评估结果,而且,组织的资源和资金能够应用到能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,组合评估也有缺点:如果初步的风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,终导致结果失准。
收益法和成本法着眼于企业自身发展状况。不同的是收益法关注企业的盈利潜力,考虑未来收入的时间价值,是立足现在、放眼未来的方法,因此对于处于成长期或成熟期并具有稳定持久收益的企业较适合采用收益法。成本法则是切实考虑企业现有资产负债,是对企业目前价值的真实评估,所以在涉及一个仅进行投资或仅拥有不动产的控股企业,以及所评估的企业的评估前提为非持续经营时,适宜用成本法进行评估。
市场法区别于收益法和成本法,将评估从企业本身转移至行业,完成了评估方法由内及外的转变。市场法较之其他两种方法更为简便和易于理解。其本质在于寻求合适进行横向比较,在目标企业属于发展潜力型同时未来收益又无法确定的情况下,市场法的应用优势凸显。
(作者: 来源:)
