风险评估方法
1、风险因素分析法。风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。其一般思路是:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
2、模糊综合评价法
3、内部控制评价法。内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。
详细评估的优点在于:
组织可以通过详细的风险评估而对信息安全风险有一个的认识,并且准确定义出组织的安全水平和安全需求;组合,基线风险评估耗费资源少、周期短、操作简单,但不够准确,银行风险评估,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,社会稳定风险评估,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
风险被划分为三个等级:
1、不可接受区域,这里除特殊情况之外,风险都是无法容忍的,必须采取降低风险的措施。
2、中间区域,也就是ALARP区域,在这里采取进一步降低风险的措施,但是如果成本和收益比例失衡的话,石家庄风险评估,可以不采取行动。
3、广泛可接受区域,在这里不需要采取进一步降低风险的措施,当风险处于这个水平的时候,进一步降低风险从经济上考虑是不划算的,与其在这里花费大量资金,不如考虑降低别处的风险。