注意事項
風險評估風險評估過程注意事項
在風險評估過程中,有幾個關鍵的問題需要考慮����。
首先,要確定保護的對象(或者資產(chǎn))是什么�?它的直接和間接價值如何��?
其次�����,資產(chǎn)面臨哪些潛在威脅���?導致威脅的問題所在?威脅發(fā)生的可能性有多大��?
第三�,資產(chǎn)中存在哪些弱點可能會被威脅所利用���?利用的容易程度又如何���?
第四,一旦威脅事件發(fā)生���,組織會遭受怎樣的損失或者面臨怎樣的負面影響�?
最后��,組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度����?
解決以上問題的過程���,就是風險評估的過程。
進行風險評估時�,有幾個對應關系必須考慮:
每項資產(chǎn)可能面臨多種威脅
威脅源(威脅代理)可能不止一個
每種威脅可能利用一個或多個弱點
基線
如果組織的商業(yè)運作不是很復雜��,并且組織對信息處理和網(wǎng)絡的依賴程度不是很高����,或者組織信息系統(tǒng)多采用普遍且標準化的模式�,基線風險評估(Baseline Risk Assessment)就可以直接而簡單地實現(xiàn)基本的安全水平,并且滿足組織及其商業(yè)環(huán)境的所有要求。
采用基線風險評估��,組織根據(jù)自己的實際情況(所在行業(yè)�、業(yè)務環(huán)境與性質等),對信息系統(tǒng)進行安全基線檢查(拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較��,找出其中的差距)��,得出基本的安全需求�����,通過選擇并實施標準的安全措施來消減和控制風險���。所謂的安全基線��,是在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例����,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)�,可以滿足基本的安全需求,能使系統(tǒng)達到一定的安全防護水平�。組織可以根據(jù)以下資源來選擇安全基線:
國際標準和國家標準,例如BS 7799-1���、ISO 13335-4�����;
行業(yè)標準或推薦
來自其他有類似商務目標和規(guī)模的組織的慣例����。
當然,如果環(huán)境和商務目標較為典型���,組織也可以自行建立基線�����。
基線評估的優(yōu)點是需要的資源少��,周期短�����,操作簡單�,對于環(huán)境相似且安全需求相當?shù)闹T多組織�����,基線評估顯然是最經(jīng)濟有效的風險評估途徑�����。當然�����,基線評估也有其難以避免的缺點����,比如基線水平的高低難以設定,如果過高����,可能導致資源浪費和限制過度,如果過低�����,可能難以達到充分的安全����,此外,在管理安全相關的變化方面��,基線評估比較困難。
基線評估的目標是建立一套滿足信息安全基本目標的最小的對策集合���,它可以在全組織范圍內實行���,如果有特殊需要,應該在此基礎上��,對特定系統(tǒng)進行更詳細的評估��。
詳細
詳細風險評估要求對資產(chǎn)進行詳細識別和評價��,對可能引起風險的威脅和弱點水平進行評估�����,根據(jù)風險評估的結果來識別和選擇安全措施�����。這種評估途徑集中體現(xiàn)了風險管理的思想���,即識別資產(chǎn)的風險并將風險降低到可接受的水平����,以此證明管理者所采用的安全控制措施是恰當?shù)摹?/p>
風險識別
“風險識別”(risk identification)是發(fā)現(xiàn)、承認和描述風險的過程���。風險識別包括對風險源、風險事件��、風險原因及其潛在后果的識別��。風險識別包括歷史數(shù)據(jù)�����、理論分析���、有見識的意見�、專家的意見�����,以及利益相關方的需求���。
風險評價
“風險評價”(risk evaluation)是把風險分析的結果與風險準則相比較����,以決定風險和/或其大小是否可接受或可容忍的過程。正確的風險評價有助于組織對風險應對的決策�����。
詳細評估的優(yōu)點在于:
1���、組織可以通過詳細的風險評估而對信息安全風險有一個精確的認識�,并且準確定義出組織的安全水平和安全需求�����;
2����、詳細評估的結果可用來管理安全變化。當然�����,詳細的風險評估可能是非常耗費資源的過程���,包括時間���、精力和技術�,因此����,組織應該仔細設定待評估的信息系統(tǒng)范圍,明確商務環(huán)境�����、操作和信息資產(chǎn)的邊界���。
組合
基線風險評估耗費資源少、周期短���、操作簡單����,但不夠準確�,適合一般環(huán)境的評估;詳細風險評估準確而細致�����,但耗費資源較多,適合嚴格限定邊界的較小范圍內的評估����。基于在實踐當中�����,組織多是采用二者結合的組合評估方式����。
為了決定選擇哪種風險評估途徑,組織首先對所有的系統(tǒng)進行一次初步的高級風險評估�����,著眼于信息系統(tǒng)的商務價值和可能面臨的風險��,識別出組織內具有高風險的或者對其商務運作極為關鍵的信息資產(chǎn)(或系統(tǒng))����,這些資產(chǎn)或系統(tǒng)應該劃入詳細風險評估的范圍,而其他系統(tǒng)則可以通過基線風險評估直接選擇安全措施��。
這種評估途徑將基線和詳細風險評估的優(yōu)勢結合起來�����,既節(jié)省了評估所耗費的資源,又能確保獲得一個全面系統(tǒng)的評估結果��,而且��,組織的資源和資金能夠應用到最能發(fā)揮作用的地方�����,具有高風險的信息系統(tǒng)能夠被預先關注��。當然����,組合評估也有缺點:如果初步的高級風險評估不夠準確����,某些本來需要詳細評估的系統(tǒng)也許會被忽略,最終導致結果失準��。
方法
一��、風險因素分析法
風險因素分析法是指對可能導致風險發(fā)生的因素進行評價分析����,從而確定風險發(fā)生概率大小的風險評估方法�����。其一般思路是:調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發(fā)生的后果→風險評價�。
二��、模糊綜合評價法
三����、內部控制評價法
內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。由于內部控制結構與控制風險直接相關���,因而這種方法主要在控制風險的評估中使用��。注冊會計師對于企業(yè)內部控制所做出的研究和評價可分為三個步驟:
四��、分析性復核法
分析性復核法是注冊會計師對被審計單位主要比率或趨勢進行分析���,包括調查異常變動以及這些重要比率或趨勢與預期數(shù)額和相關信息的差異,以推測會計報表是否存在重要錯報或漏報可能性�。常用的方法有比較分析法、比率分析法�����、趨勢分析法三種。
五����、定性風險評價法
定性風險評價法是指那些通過觀察、調查與分析���,并借助注冊會計師的經(jīng)驗���、專業(yè)標準和判斷等能對審計風險進行定性評估的方法。它具有便捷���、有效的優(yōu)點�����,適合評估各種審計風險。主要方法有:觀察法���、調查了解法���、邏輯分析法���、類似估計法。
六�����、風險率風險評價法
風險率風險評價法是定量風險評價法中的一種����。它的基本思路是:先計算出風險率,然后把風險率與風險安全指標相比較����,若風險率大于風險安全指標,則系統(tǒng)處于風險狀態(tài)�,兩數(shù)據(jù)相差越大,風險越大����。
風險率等于風險發(fā)生的頻率乘以風險發(fā)生的平均損失,風險損失包括無形損失�����,無形損失可以按一定標準折換或按金額進行計算���。風險安全指標則是在大量經(jīng)驗積累及統(tǒng)計運算的基礎上�����,考慮到當時的科學技術水平����、社會經(jīng)濟情況、法律因素以及人們的心理因素等確定的普遍能夠接受的最低風險率��。風險率風險評價法可在會計師事務所以及注冊會計師行業(yè)風險管理中使用�。
