风险评估的概念

来源：作者：出处：巧巧读书 2006-09-22 进入讨论组

　　风险评估的概念
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带
来风险的可能性的评估。

作为风险管理的基础，风险评估（Risk Assessment）是组织确定信息安全需求的一个重
要途径，属于组织信息安全管理体系策划的过程。风险评估的主要任务包括：

识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策

在风险评估过程中，有几个关键的问题需要考虑。首先，要确定保护的对象（或者资产）
是什么？它的直接和间接价值如何？其次，资产面临哪些潜在威胁？导致威胁的问题所在？
威胁发生的可能性有多大？第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程
度又如何？第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最
后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？
解决以上问题的过程，就是风险评估的过程。
这里需要注意，在谈到风险管理的时候，人们经常提到的还有风险分析（Risk Analysis）
这个概念，实际上，对于信息安全风险管理来说，风险分析和风险评估基本上是同义的。当
然，如果细究起来，风险分析应该是处理风险的总体战略（它包括风险评估和风险管理两个
部分，此处的风险管理相当于本文的风险消减和风险控制的过程），风险评估只是风险分析
过程中的一项工作，即对可识别的风险进行评估，以确定其可能造成的危害。
进行风险评估时，有几个对应关系必须考虑：