风险评估的案例范例6篇

前言:中文期刊网精心挑选了风险评估的案例范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

风险评估的案例

风险评估的案例范文1

 

1 信息安全风险评估基本理论

 

1.1 信息安全风险

 

信息安全风险具有客观性、多样性、损失性、可变性、不确定性和可测性等多个特点。客观性是因为信息安全风险在信息系统中普遍存在;多样性是指信息系统安全涉及多个方面;损失性是指任何一种信息安全风险,都会对信息系统造成或大或小的损失;可变性是指信息安全风险在系统生命周期的各个阶段动态变化;不确定性是一个安全事件可以有多种风险;可测试性是预测和计算信息安全风险的方法。

 

1.2 信息安全风险评估

 

信息安全风险评估,采用科学的方法和技术和脆弱性分析信息系统面临的威胁,利用系统,评估安全事件可能会造成的影响,提出了防御威胁和保护策略,从而防止和解决信息安全风险,或控制在可接受范围内的风险,最大限度地保护系统的信息安全。通过评价过程对信息系统的脆弱性进行评价,面临威胁和漏洞威胁利用的负面影响,并根据信息安全事件的可能性和严重程度,确定信息系统的安全风险。

 

2 信息安全风险评估原理

 

2.1 风险评估要素及其关系

 

一般说来,信息安全风险评估要素有五个,除以上介绍的安全风险外,还有资产、威胁、脆弱性、安全措施等。信息安全风评估工作都是围绕这些基本评估要素展开的。

 

2.1.1 资产

 

资产是在系统中有价值的信息或资源,是安全措施的对象。资产价值是资产的财产,也是资产识别的主要内容。它是资产的重要程度或敏感性。

 

2.1.2 威胁

 

威胁是导致不期望事件发生的潜在起因,这些不期望事件可能危害系统。

 

2.1.3 脆弱性

 

脆弱性是资产存在的弱点,利用这些弱点威胁资产的使用。

 

2.1.4 安全措施

 

安全措施是系统实施的各种保护机制,这种机制能有效地保护资产、减少脆弱性、抵御威胁、减少安全事件的发生或降低影响。风险评估围绕上述基本要素。各要素之间存在着这样的关系:

 

(1)资产是风险评估的对象,资产价值是由资产价值计量的,资产价值越高,证券需求越高,风险越小。

 

(2)漏洞可能会暴露资产的价值,使其被破坏,资产的脆弱性越大,风险越大;

 

(3)威胁引发风险事件的发生,威胁越多风险越大;

 

(4)威胁利用脆弱性来危害资产;

 

(5)安全措施可以防御威胁,减小安全风险,从而保护资产。

 

2.2 风险分析模型及算法

 

在信息安全风险评估标准中,风险分析涉及资产的三个基本要素,威胁和脆弱性。每个元素都有它自己的属性,并由它的属性决定。资产的属性是资产的价值,而财产的威胁可以是主体、客体、频率、动机等。财产的脆弱性是资产脆弱性的严重性。在风险分析模型中,资产的价值、威胁的可能性、脆弱性的严重程度、安全事件的可能性和安全事件造成的损失,两者是整合的,它是风险的价值。

 

风险分析的主要内容为:

 

(1)识别资产并分配资产;

 

(2)确定威胁,并分配潜在的威胁;

 

(3)确定漏洞,并分配资产的脆弱性的严重程度;

 

(4)判断安全事件的可能性。根据漏洞的威胁和使用的漏洞来计算安全事件的可能性。

 

安全事件发生可能性=L(威胁可能性,脆弱性)=L(T,V)

 

(5)计算安全事件损失。根据脆弱性严重程度和资产价值计算安全事件的损失。

 

安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);

 

(6)确定风险值。根据安全事件发生可能性和安全事件造成的损失,计算安全事件发生对组织的影响。

 

风险值=R(A,T,V)=R(F(Ia,Va),L(T,V))

 

其中,A是资产;T是威胁可能性;V是脆弱性;Ia是资产价值;Va是脆弱性的严重程度;L是威胁利用脆弱性发生安全事件的可能性;F是安全事件造成的损失,R是风险计算函数。

 

3 信息风险分析方法探析

 

作为保障信息安全的重要措施,信息安全系统是信息安全的重要组成部分,而信息安全风险评估的算法分析方法,风险评估作为风险分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成为正式信息安全标准的一部分。从定性定量的角度可以将风险分析方法分为三类,也就是定性方法、定量方法和定性定量相结合。

 

3.1 定性的风险分析方法

 

定性的方法是凭借分析师的经验和知识的国际和国内的标准或做法,风险管理因素的大小或程度的定性分类,以确定风险概率和风险的后果。定性的方法的优点是,信息系统是不容易得到的具体数据的相对值计算,没有太多的计算负担。它有一定的缺陷,是很主观的,要求分析有一定的经验和能力。比较著名的定性分析方法有历史比较法、因素分析方法、逻辑分析法、Delphi法等,这些方法的成败与执行者的经验有很大的关系。

 

3.2 定量的风险分析方法

 

定量方法是用数字来描述风险,通过数学和统计的援助,对一些指标进行处理和处理,来量化安全风险的结果。定量方法的优点是评价结果直观,使用数据表示,使分析结果更加客观、科学、严谨、更有说服力。缺点是,计算过程复杂,数据详细,可靠的数据难以获得。正式且严格的评估方法的数据一般是估计而来的,风险分析达到完全的量化也不太可能。与著名的定时模型定量分析方法、聚类分析法、因子分析法、回归模型、决策树等方法相比较,这些方法都是具有数学或统计工具的风险模型。

 

3.3 定性定量相结合的风险分析方法

 

是因为有优点和缺点的定量和定量的方法,只使用定性的方法,太主观,但只有使用定量方法,数据是难以获得的,所以目前常用的是定性和定量的风险分析方法相结合。这样,既能克服定性方法主观性太强的缺点,又能解决数据不好获取的困难。典型的定性定量相结合的风险评估工具有@Risk、CORA等。

风险评估的案例范文2

医院既是诊治疾病,促进健康的场所,又是感染源,传播途径和易感宿主相对集中的场所,同时又由于有探视的家属、陪护人员、卫生人员、工作人员等人员复杂性,这些群体身体健康状况各有差异。如果不加强医院的管理就会危害社会人群的身体健康,就会给患者带来住院的时间延长,经济负担加重,躯体和精神受到更痛苦的折磨,这些都严重损害了患者和家属的利益,并且恶化医患关系,甚至发生医疗纠纷。

随着生物安全管理的要求,和各级医院感染形式严峻所需,要求各级医院感染管理组织承担起全院生物安全工作的监督,落实和培训的作用,做到依法管理医院感染,依法处理医院感染。

医院感染是指住院病人在医院内获得的感染,包括在住院期间发生的感染和在医院内获得出院后发生的感染;但不包括入院前已开始或入院时已存在的感染。医院工作人员在医院内获得的感染也属医院感染。

一个好医院它的院感组织在对医院各方面、全方位的生物安全风险评估工作中起着重要的作用。

医院感染在全面综合性检测这方面,由于综合性医院与院感相关部门较多,院感工作组人员可能有限,院感组领导是否对所在医院的“十室四房一站”、重点、特殊部门等工作人员的自身健康状况是否了解,是否有不符合条件的人员在从事不应从事的工作,是否对由于怀孕或某些原因正在使用免疫抑制剂的工作者,考虑到生物安全可能会对其产生危害,建议或考虑暂时给其调整岗位。在对重点部门的环境卫生学的监测工作中,是不是在院感科工作人员的监督下采样的?培养检测结果与实际是否相符?发现异常,是否采取措施?发现医院存在生物安全风险,是否及时上报?是否考虑方案,采取整改措施?

监测方法宜采用主动监测,感染控制专职人员主动、持续地对调查对象的医院感染发生情况进行跟踪观察与记录。各医院应建立医院感染报告制度,临床科室医师应及时报告医院感染病例。各医院应制定符合本院实际的、切实可行的医院感染监视计划并付诸实施。专职人员应以查阅病历和临床调查患者相结合的方式调查医院感染病例。医院感染资料的来源,包括以患者为基础和以实验室检查结果为基础的信息。

风险评估的案例范文3

一、人工神经元模型、结构及工作方法

神经网络的基本单元是神经元,神经元的三个基本要素为:

(1)一组连接(对应于生物神经元的突触),连接强度由各连接上的权值表示,权值为正表示激活,为负表示抑制;

(2)一个求和单元,用于求取各输入信号的加权和(线性组合);

(3)一个非线性激活函数,起非线性映射作用并将神经元输出幅度限制在一定范围内(一般限制在(0,1)或(-1,+1)之间)。此外还有一个阈值(或偏置)。

以上作用可分别以数学式表达出来:

(1)

式中为输入信号,为神经元k之权值,uk为线性组合结果,为阈值,为激活函数,yk为神经元k的输出。

除单元特性外,网络的拓扑结构也是神经网络的一个重要特性;从连接方式看,神经网络主要有两种:

(1)前馈型网络

前馈型网络有输入层、输出层和若干隐含层构成,各神经元接受前一层的输入,并输入给下一层,信息的传播是逐层进行的,没有反馈,且经过每一次都要有相应的特征函数进行变换[1]。

(2)反馈型网络

反馈型网络的所有节点都是计算单元,同时可接受输入,并向外界输出,可画成一个无向图3所示。反馈型网络的每个连接弧都是双向的。若总单元数为n,则每一个节点有n-1个输入和一个输出。

从作用效果来看,前馈网络主要是函数映射,可用于模式识别和函数逼近。反馈网络按对能量函数的极小点的利用来分类有两种:第一类是能量函数的所有极小点都起作用,这一类主要用作各种联想存储器,第二类只利用全局最小点,它主要用于求解制约优化问题。

二、网络的选取

由于BP网络模型和RBF网络模型这两种网络存在收敛速度慢和局部极小的缺点,在解决样本量少且噪声较多的问题时,效果并不理想,因此不适合对车辆运输安全风险进行评估。

广义回归神经网络(GRNN)在逼近能力、分类能力和学习速率上较BP网络和RBF网络有着较强的优势,网络最后收敛于样本量急剧较多的优化回归面,并且在样本数据缺乏时,评估效果也比较好,此外,网络还可以处理不稳定的数据。因此,本文利用GRNN建立风险评估模型,对车辆运输安全风险进行评估。

GRNN的结构及其原理参见文献[2],网络的第一层为径向基隐含层,神经元个数等于训练样本数,该层的权值函数为欧氏距离函数(用表示),其作用为计算网络输入与第一层的权值IW1,1之间的距离,b1为隐含层的阈值。符号“・”表示的输出与阈值b1之间的关系。隐含层的传递函数为径向基函数,通常采用高斯函数作为网络的传递函数:

(2)

其中,决定了第i个隐含层位置中基函数的形状,越大,基函数越平滑,所以又称为光滑因子。

网络的第二层为线性输出层,其权函数为规范化点积权函数(用nprod表示),计算网络的向量n2,它的每个元素是由向量aI和权值矩阵每行元素的点积再除以向量aI的各元素之和得到的,并将结果n2提供给线性传递函数a2=purelin(n2),计算网络输出。

GRNN连接权值的学习修正仍然使用BP算法。由于网络隐含层节点中的作用函数(基函数)采用高斯函数,高斯函数作为一种局部分布对中心径向对称衰减的非负非线性函数,对输入型号将在局部产生相应,即当输入信号靠近基函数的中央范围时,隐含层结点将产生较大的输出。由此看出这种网络具有局部逼近能力,这也是该网络学习速度更快的原因。此外,GRNN中认为调节的参数少,只有一个阈值,网络的学习全部依赖数据样本,这个特点决定了网络得以最大限度的避免人为主观假定对评估结果的影响。

三、基于GRNN的车辆安全风险评估

根据对车辆运行系统安全影响因素的分析,网络输入分别取指标体系内安全意识、知识技能等二十个二级指标,以车辆发生重大安全事故风险度为输出因子,即网络的输出。利用某车辆运输公司1998~2006年的历史统计数据作为网络的训练样本,2007~2008年的历史统计数据作为网络的外推测试样本。输入样本及目标样本如表1所示。

图1 网络的逼近误差

图2 网络的评估误差

首先对表1中的数据进行归一化处理,利用处理后的数据建立GRNN神经网络并进行训练与测试。由于光滑因子对网络的性能影响比较大,因此,需要不断尝试才可以获得最佳值。本文采用MATLAB神经网络工具箱对其进行分析求解,将光滑因子分别设为0.1、0.2、…、0.5,经过对输出结果的检查发现,光滑因子越小,网络对样本的逼近能力就越强;光滑因子越大,网络对样本数据的逼近过程就越平滑。网络对训练样本的逼近误差如图1所示(单位×10-4),网络的风险评估误差如图2所示(单位×10-4)。由图可见,当光滑因子为0.1时,无论逼近性能还是评估性能,误差都比较小,随着光滑因子的增加,误差也在不断增大。

从误差的角度考虑,本文光滑因子取0.1,此时网络的测试输出(07、08年风险度)为:

y=0.0069 0.0072

由此可见,该运输公司2007年、2008年的车辆重大安全事故风险评估的误差分别为2.5%、2.7%,这可能是由于训练样本容量比较小导致的,所以评估精度不是很高。考虑到各种随机因素,本文的风险评估结果还是可以接受的。

参考文献

风险评估的案例范文4

但是,近几年除了老百姓日常关心的因农、兽药违规使用、监管不当及环境污染而导致局部地区农,兽药残和有害重金属超标事件之外,最使人震惊和不解的是,为什么会不断,甚至反复地出现在食品中违法添加有害物的重大事件,如较早的红心鸭蛋事件,后来的三聚氰胺事件,以及最近的瘦肉精事件等。这些事件拥有共同的特点:都是明知的有害添加物;其源头都因分段监管不够明晰i从技术层面上讲,检测难度并不太大;都涉及大型食品企业和多个利益链。

如今,我国已有《食品安全法》和《农产品质量安全法》,以法保障食品安全,而且明确以风险评估为基础(即以食品毒理学和生物学评估为手段),以安全标准为核心。那么,当今食品安全风险评估还有哪些难点和不足?怎样建立完善的食品标准体系和安全链,从而对外取得有力的话语权,对内消除食品安全问题上的盲区、误区、甚至误导,真实、科学地引导我国广大食品生产者和消费者?这是我们需要了解和关注的。

食品安全风险评估

在国际食品法典委员会(cAC)的程序手册中,将食品风险分析的过程定义为3部分:风险评估,风险管理和风险交流。其中风险评估是风险分析体系的基础,是对食品生产、加工、储运,营销等过程中可能危害人体健康的化学,生物和物理因素等进行的科学评估,是一个以科学为依据的过程,CAC程序手册中明列其步骤如图1(a)所示。在CAC导则和国内有关专著中都指出,风险交流贯穿于风险管理,风险评估乃至整个风险分析过程,所以我们认为风险交流和管理实际上即为风险应对,其内容可如图1(b)所示。图1说明风险评估是为应对风险奠定科学基础,而风险应对是最终目的。

CAC对风险评估的理念

(1)对风险评估首先要求对有害物进行定性、定量分析和确定,这是基础:

(2)特别强调要对有害物进行毒理学和生物学评估,这是核心

(3)对风险评估的每一个环节都强调要作出量化的评估,包括相关的不确定性,这是要求立论有据;

(4)最终为制定食品安全标准奠定科学依据。

真正进行严密的有害物风险性评估,包括对化学性污染(农兽药残留,有毒有害的元素及违规、违禁添加物等)和生物性污染(病原性微生物及毒素)等的风险评估,是食品安全管理的科学基础,但同时,又存在诸多难点和不足。这是因为食品安全风险评估的关键技术手段是食品毒理学,虽然早在5000年前,神农尝百草就已开始区分食物,药物与毒物,但毒理学,特别是食品毒理学的发展,在国际上也是在20世纪50年代之后才真正起步。我国则更晚一步,于1975年起步,1994年颁布实施《食品安全性毒理学评价程序》,2003年对其进行修订。近年来才出版了多本《食品毒理学》专著。

当今食品安全风险评估的关键技术手段和基础――食品毒理学,在研究和应用上仍存在诸多难点和不足,在科学仪器及分析技术高度发展的今天,对有害物的定性、定量分析和确定已不太难,难点在于:

(1)药物毒理学本身就复杂,而有害物质随食品进入人体后的分布,代谢、转化,复合,排泄、富集等过程比药物毒理学等更复杂;

(2)有害物通过食品进入人体后的各种毒性,致癌性,致畸性、致敏性等反应及过程更为复杂;

(3)遵循伦理道德,毒理学研究方法只能使用动物体内和体外试验,不仅耗时、费工、周期长,难实现大量。快速筛选,而且影响因素复杂,由于种属不同,人体与动物体反应也存在诸多差异和不确定性;

㈩有害物的人群流行性学调查也受地域。人种,年龄,性别,习惯及个体不同等因素的影响,存在诸多不确定性,

(5)分子生物学等新技术,如基因重组、克隆、核酸杂交、PCR,DNA测序和突变检测、荧光原位杂交、芯片技术,流式细胞检测技术、核磁共振技术以及转基因动物等,尚有待进一步探索、完善和普及。

正是由于上述原因,加之国际贸易中掺入技术性壁垒,所以尽管国外不断修改和提升食品安全标准,其实我国常是不得已而随之,严格地说有些是缺乏严密的风险性评估的,这已为众多学者和管理机构所认同,如日本,虽在2006年5月实施了肯定列表制,但事后制订了“食品健康影响评估计划”,拟定从2008年开始,5年内完成对758种农药等进行风险评估,并说明“因没有时间进行食品健康影响的评估,所以先制定肯定列表,事后再进行风险评估。”

随着《食品安全法》的颁布实施,2009年12月8日,我国第一届国家食品安全风险评估专家委员会成立了。据媒体报道。卫生部部长陈竺透露,我国将力争用两年时间,在全国建立起覆盖食品生产经营各环节;各省,市、县并延伸到农村的食品中污染物,食源性疾病和总膳食调查体系,筹建国家食品安全风险评估中心,在有能力的省份成立国家食品安全风险评估分中心。我们期待着在该委员会的统领下,大力开展食品毒理学的研究与应用,迎来我国深入开展食品安全风险评估的新时期。

亟待构建完善的食品安全标准体系

食品质量安全标准体系是一个庞大,复杂、层面众多的系统工程。《食品安全法》第二十条规定了食品安全标准的内容,2010年1月成立了我国第一届食品安全国家标准审评委员会,《农产品质量安全法》的第二章对农产品质量安全标准做了原则性和概念性的法律规定。我国当今与食品安全相关的标准虽多但颇乱,有些还很旧,而且有关文件中都没有明确以下关键问题:(1)食品,农产品质量安全标准体系的核心是什么;(2)各种标准之间是何种派生,外延和关联性:(3)各种标准中有哪些不确定性。鉴于供食用的农产品是食品的最主要源头,本文试以农产品为例,通过图2㈦和图2(b)表述以上三个问题。

图2(a)说明农产品质量安全标准的核心应是依据食品毒理学、生物学(风险评估的基础和核心)及营养学,制定农产品质量安全标准(有害物的限量标准和营养品质标准),由安全质量标准派生出来检验检测方法标准。

图2(b)说明为了使农产品达到相应的质量安全标准,不仅要从药效,更应从农、兽药的降解、代谢以及生物富集等高度来确定农、兽药安全使用标准,而且为了确保动物源性食品达到相应的质量安全标准,应从动物对饲料及添加剂的吸收,代谢和残留等高度制定饲料及添加剂的标准;为确保植物源性食品达到相应的质量安全标准,应从作物对养分和农药等有害物质的吸收,代谢,降解,转移、富集等高度来制定肥料、农药和生态环境标准,而为了实现以上要求,必须制定出一系列逐一对应的检测分析方法的标准。

构建食品安全保障管体系

我国提出“从田野到餐桌”,确保农产品、食品安全已多年。也取得了可喜的效果,但其理念上还是从最终端产品的质量安全监控入手,再追溯到供食用的农产品和添加剂,进而外延至生产环境。近十多年来在CAC和粮农组织的倡导下,发达国家开始实施从源头到最终产品的完整的食品安全预防控制体系――危害分析与关键控制点(HACCP)体系,我国也已开始试行。HACCP体系是运用食品加工,微生物学、质量控制和危险性评价等有关原理和方法,对食品原料、加工直至最终食用产品进行实际存在和潜在性的危害分析判断,使产品的危险性减小到最低限度,控制危害性,预防性的完整食品安全管理体系。很显然,HACCP并不是一个独立存在的体系,它必须建立在一系列与食品安全直接相关联的良好操作规范的基础上,包括:

(1)良好农业规范(GAP):GAP是一套针对农产品生产(包括作物种植和动物养殖等)的操作标准,内容涉及规范土壤、水,作物和饲料、植保,畜禽生产、畜禽健康、收获、加工、储运。关注农产品种植、养殖、采收,清洗、包装、贮藏和运输过程中有害物质和有害生物的控制及其保障能力等,在农业生产中全面实施,完善地保障农产品质量安全;

(2)良好操作规范(GMP):GMP适用于所有食品生产企业,主要内容是要求生产企业具备合理的生产过程、良好的生产设备、正确的生产知识和严格的操作规范,以及完善的质量控制和管理体系。GMP的具体内容各国不尽相同。但都涉及人员、环境、车间及设施的卫生,原料、辅料选用和加工,包装,贮运的卫生以及有害物控制与检验,直至产品标识和可追溯性等,其强调食品的生产和贮运全过程应避免微生物,化学性和物理性污染。

风险评估的案例范文5

本书是在《微生物定量风险分析》第1版的基础上修订的,共历时14年。书中涉及的微生物从第1版中的食源性细菌、病毒、单细胞动物拓展到近几年新发现及流行的冠状病毒、流感病毒、生物恐怖因子以及人畜共患病病原体等。在本版中作者延续了第1版中的风险评估方法,并在此基础上增加了一些新的内容,包括现代病原微生物分析方法、预测微生物学(病原体生长与凋亡)、风险分析模型以及人群中疾病扩散模型等。同时本版也删除了一些内容,如,不再反映微生物剂量应对指标的复杂图表等。

本书共分为11章:1.动机,主要介绍传染病的流行趋势、现有手段、覆盖范围、定量微生物风险分析的潜在目标、特定地域的估计、地域集综二次传播、地方性传染病暴发案例等;2.微生物病原体与传播,按照三种分类法分别描述各类病原体的特征、临床特点、潜伏期以及宿主特征。这三类分别为种群分类(真核、原核、病毒、类病毒)、微生物分类(病毒、细菌、单细胞动物)、传播途径分类(呼吸道、皮肤接触、食道);3.风险评估范例,通过案例详细介绍风险评估――定性或定量评估在人群或个体中潜在对健康不利因素的分析方法,例如,化学品风险评估、生态环境风险评估、微生物潜在风险评估、微生物定量风险评估过程和发展等;4.危险品标识是识别治病微生物病原体的标志,详细描述不同的标识;5.定量微生物风险分析方法,着重讲述不同的微生物分析方法,从不同的病原体采集方法到针对细菌、单细胞生物以及病毒的分子生物学检测方法;6.疾病的暴露评估,通过大量的数学公式以及统计方法分析病原体的载量与疾病在人群中暴露的关系;7.预测微生物学,通过大量数据与统计学方法预测微生物病原体的生长与凋亡过程;8.微生物剂量反应评估,通过不同的模型与数学算法详细描述病原体的载量与患病率、死亡率、及潜在免疫状态的影响;9.不确定,本章列举出了一些在风险评估中的不确定因素。10.人群疾病传播,主要通过模型来分析人群与社区中的疾病传播过程、潜伏期、以及相对应的检测方法男;11.风险特征与决策,作为本书的最后一章,概括了全书的内容并指出当风险评估的定量分析结果需要一个定性的决策时,还需要考虑很多其他因素。

本书作为全面介绍微生物风险评估的专业教材,既满足各高等学校生物类、环境类、 生物工程类、公共卫生、微生物类学科本科教学的需求,同时也满足不同层次和其他相关专业研究生的教学需要。

马雪征,硕士,助理研究员

(中国检验检疫科学研究院,卫生检疫研究所)

风险评估的案例范文6

IT在银行业扮演着越来越重要的角色。随着银行业电子化程度的不断提高,加强IT的风险管理势在必行。

为此,银监会于2009年出台了《商业银行信息科技风险管理指引》,对信息科技风险管理目标提出了具体的指导性意见。

风险管理是识别风险、评价风险、控制风险的过程,最终目标是将风险控制在可接受范围。而风险评估是对风险发生的可能性及可能造成的影响进行分析,是识别风险、评价风险的过程,是风险管理的基础。

信息科技的风险管理也需要以风险评估为基础。

整体和专项两种评估

风险评估是风险管理过程中重要的一环,在安全规划、业务连续性管理和实施等级保护等方面也离不开风险评估。

信息科技风险评估可以分为整体风险评估和专项风险评估。

整体风险评估是指对信息科技的各个方面,如治理、信息安全、信息系统开发、测试与维护、信息科技运行、外包、业务连续性管理等,进行全面的风险评估。专项风险评估则是指针对信息科技的某一方面、某个系统或为某个目的而进行的评估。常见的专项风险评估还会根据评估对象分为网络评估、系统风险评估等。

整体风险评估侧重于反映宏观层面的风险,即全面反映影响实现IT目标的风险,帮助银行高级管理层把握信息科技的整体风险状况,从而据此来进行战略决策,最终提升风险管理能力。专项风险评估则侧重于反映微观层面的风险,即反映信息科技某一方面或者某个系统存在的风险,据此来决定采取相应的风险处理措施,降低相关系统所面临的风险。

评估风险的七个步骤

风险有影响及可能性两个属性,而影响是由资产的价值与资产存在的弱点决定的,可能性是由资产面临的威胁及资产存在的弱点决定的。因此,风险评估需要对资产、弱点及威胁进行综合分析。

风险评估工作一般有以下七个步骤:描述分析评估对象,确定其目标或者价值;识别评估对象存在的弱点;识别评估对象面临的威胁;通过分析弱点及威胁,确定风险发生的可能性;通过分析资产及弱点,预测风险如果发生可能带来的影响;通过已经分析出的可能性和影响确定风险等级;根据风险等级提出风险处理建议。

这几个步骤可划分为风险识别、风险分析、风险定级三个阶段。

风险识别是风险评估的基础,只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别要对评估对象存在的弱点及面临的威胁进行识别,这是风险识别的关键。

整体风险评估覆盖范围广,反映的是宏观层面的风险,因此在进行整体风险评估时应该以调查方式为主,以检查、安全测试方式为辅。

在做整体风险评估时,要先准备详细的调查问卷,问卷内容涵盖信息科技的各个方面。一般来讲,银行的IT目标是在满足合规管理要求的前提下,支持业务创新和业务运营。为了实现这个目标,需要管理流程和基础资源配备作为支撑。其中,管理流程可分为IT业务创新支持、IT业务运营支持、IT合规管理及IT治理等四类,基础资源配备包括支撑IT运行的人、信息、应用系统及基础设施。

专项风险评估反映的是微观层面的风险,要深入查找评估对象存在的风险。因此,专项风险评估应该采取以检查与安全测试为主,以调查为辅的方法。