我們的宗旨:用心做安全技術服務Product Service

風險評估是對信息資產(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。以通過詳細的風險評估而對信息安全風險有一個精確的認識,并且準確定義出組織的安全水平和安全需求,同時詳細評估的結果可用來管理安全變化。

風險評估的主要任務包括:識別評估對象面臨的各種風險;評估風險概率和可能帶來的負面影響;確定組織承受風險的能力;確定風險消減和控制的優先等級;推薦風險消減對策。

在風險管理的前期準備階段,組織已經根據安全目標確定了自己的安全戰略,其中就包括對風險評估戰略的考慮。所謂風險評估戰略,其實就是進行風險評估的途徑,也就是規定風險評估應該延續的操作過程和方式。風險評估的操作范圍可以是整個組織,也可以是組織中的某一部門,或者獨立的信息系統、特定系統組件和服務。影響風險評估進展的某些因素,包括評估時間、力度、展開幅度和深度,都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。