1.通過基線風險評估,組織根據其實際情況(行業、業務環境和性質等)對信息系統進行安全基線檢查。)(將現有的安全措施與安全基線中指定的安全措施進行比較,找出差距),並獲得基本的安全要求,通過選擇和實施標準的安全措施來降低和控制風險。
2.所謂安全基線,就是許多標準和規範中規定的壹套安全控制措施或做法。這些措施和做法適用於特定環境下的所有系統,能夠滿足基本的安全要求,使系統達到壹定的安全防護水平。
第二,詳細評估
1.詳細的風險評估需要對資產進行詳細的識別和評估,對可能導致風險的威脅和漏洞級別進行評估,並根據風險評估的結果識別和選擇安全措施。這種評估方法體現了風險管理的思想,即識別資產的風險並將風險降低到可接受的水平,以證明管理者采取的安全控制措施是適當的。
2.風險識別:“風險識別”是發現、承認和描述風險的過程。風險識別包括識別風險源、風險事件、風險原因及其潛在後果。風險識別包括歷史數據、理論分析、知識觀點、專家意見和利益相關者的需求。
3.風險評估:“風險評估”是將風險分析的結果與風險標準進行比較,以確定風險和/或其大小是否可接受或可容忍的過程。正確的風險評估有助於組織做出風險應對決策。
第三,檔案袋評價
1.基線風險評價消耗資源少,周期短,操作簡單,但不夠準確,適用於壹般環境評價。詳細的風險評估準確細致,但消耗資源較多,適合在邊界界定嚴格的小區域進行評估。基於實踐中,組織大多采用兩者相結合的組合評價方法。
2.組織首先對所有系統進行初步的高級風險評估,重點關註信息系統的業務價值和可能的風險,並識別具有高風險或對其業務運營至關重要的信息資產(或系統)。這些資產或系統應該納入詳細風險評估的範圍,而其他系統可以通過基線風險評估直接選擇安全措施。
3.這種評估方法結合了基線和詳細風險評估的優點,既節省了評估所消耗的資源,又保證了能夠得到全面系統的評估結果。而且可以把機構的資源和資金運用到最有效的地方,可以提前關註高風險的信息系統。
擴展數據:
風險評估的常用方法
壹、風險因素分析法
風險因素分析是指對可能導致風險的因素進行評價和分析,以確定風險發生的概率的壹種風險評估方法。總體思路是:調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險後果→評估風險。
二、內部控制評價方法
內部控制評價方法是指通過評價被審計單位的內部控制結構來確定審計風險的方法。由於內部控制結構與控制風險直接相關,這種方法主要用於控制風險的評估。註冊會計師對企業內部控制的研究和評價可以分為三個步驟:
三、分析性復習法
分析性復核法是註冊會計師對被審計單位的主要比率或趨勢進行分析,包括調查異常變化以及這些重要比率或趨勢與預計金額的差異和相關信息,以推測會計報表是否存在重要錯報或漏報的可能性。常用的方法有三種:比較分析法、比率分析法和趨勢分析法。
百度百科-風險評估