1樓:
風險評估是對資訊資產面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用而帶來風險的可能性的評估。
作為風險管理的基礎,風險評估(risk assessment)是組織確定資訊保安需求的一個重要途徑,屬於組織資訊保安管理體系策劃的過程。風險評估的主要任務包括:
識別組織面臨的各種風險
評估風險概率和可能帶來的負面影響
確定組織承受風險的能力
確定風險消減和控制的優先等級
推薦風險消減對策
在風險評估過程中,有幾個關鍵的問題需要考慮。首先,要確定保護的物件(或者資產)是什麼?它的直接和間接價值如何?
其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
第三,資產中存在**弱點可能會被威脅所利用?利用的容易程度又如何?第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
解決以上問題的過程,就是風險評估的過程。
這裡需要注意,在談到風險管理的時候,人們經常提到的還有風險分析(risk analysis)這個概念,實際上,對於資訊保安風險管理來說,風險分析和風險評估基本上是同義的。當然,如果細究起來,風險分析應該是處理風險的總體戰略(它包括風險評估和風險管理兩個部分,此處的風險管理相當於本文的風險消減和風險控制的過程),風險評估只是風險分析過程中的一項工作,即對可識別的風險進行評估,以確定其可能造成的危害。
進行風險評估時,有幾個對應關係必須考慮:
每項資產可能面臨多種威脅
威脅源(威脅**)可能不止一個
每種威脅可能利用一個或多個弱點
更詳細的內容,我們會在後面逐步。
2樓:高頓教育
風險就是指某種特定的危險事件(事故或意外事件)發生的可能性與其產生的後果的組合。
3樓:o爛漫山花
說得簡單一點,就是你要做一件事之前你要想想你在這件事的時候會遇到什麼樣的問題,這些問題出現(發生)的概率各是多少,它們的出現會不會導致你的計劃不能完成……等等的問題,就叫風險評估。這是對問題不樂觀的一個預見,和效益分析相對。
4樓:匿名使用者
風險評估(risk assessment) 是指,在風險事件發生之前或之後(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。
5樓:魚丸子大人
是對資訊資產面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用而帶來風險的可能性的評估。
6樓:
你們都把別人的東西拿過來當成自己的了,那我就總結上面所有的不就行了,不是更具體了。呵呵!
7樓:匿名使用者
也就是有些風險的評價啦!
8樓:匿名使用者
偶也是啊,學到不少好東東。謝謝
9樓:
謝謝樓上的,也讓我學了一點~~3q~!
10樓:
11樓:
相信這裡有你滿意的答案。
12樓:獨孤流浪漢
就是你這個創業方案的可行性進行模擬評估報告
13樓:
說起風險評估,大家腦海中首先浮現的可能是:風險、資產、影響、威脅、弱點等一連串的術語,這些術語看起來並不難理解,但一旦綜合考慮就會象繞口令般組合。比如風險,用iso/iec tr 13335-1:
1996中的定義可以解釋為: 特定威脅利用某個(些)資產的弱點,造成資產損失或破壞的潛在可能性。
為了幫助理解,我們舉一個下里巴人的例子:我口袋裡有100塊錢,因為打瞌睡,被小偷偷走了,搞得晚上沒飯吃。
用風險評估的觀點來描述這個案例,我們可以對這些概念作如下理解:
風險 = 錢被偷走
資產 = 100塊錢
影響 = 晚上沒飯吃
威脅 = 小偷
弱點 = 打瞌睡
回到陽春白雪來,假設這麼個案例:某**公司的資料庫伺服器因為存在rpc dcom的漏洞,遭到入侵者攻擊,被迫中斷3天。
讓我們嘗試做一道小學時常做的連線題,把左右兩邊相對應的內容用線段連線起來:
風險 rpc dcom漏洞
資產 伺服器遭到入侵
影響 資料庫伺服器
威脅 入侵者
弱點 中斷三天
什麼是風險評估?風險評估常用方法是什麼?
14樓:枕邊吹風會
風險評估的定義及常用方法如下:
一、風險評估:
風險評估(risk assessment) 是指,在風險事件發生之前或之後(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。
二、常用方法:
1、風險因素分析法
其一般思路是:調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的後果→風險評價。
2、模糊綜合評價法
3、內部控制評價法
內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。
4、分析性複核法
分析性複核法是註冊會計師對被審計單位主要比率或趨勢進行分析,包括調查異常變動以及這些重要比率或趨勢與預期數額和相關資訊的差異,以推測會計報表是否存在重要錯報或漏報可能性。
5、定性風險評價法
定性風險評價法是指那些通過觀察、調查與分析,並藉助註冊會計師的經驗、專業標準和判斷等能對審計風險進行定性評估的方法。
6、風險率風險評價法
風險率風險評價法是定量風險評價法中的一種。
三、任務:
1、確定風險評估的主要任務;
2、識別評估物件面臨的各種風險;
3、評估風險概率和可能帶來的負面影響;
4、確定組織承受風險的能力;
5、確定風險消減和控制的優先等級;
6、推薦風險消減對策。
風險評估程式是啥意思?
15樓:染目黒曈
風險評估程式,即瞭解被審計單位及其環境實施程式。
詢問被審計單位管理層和內部其他相關人員是註冊會計師瞭解被審計單位及其環境的一個重要資訊**。
目的:為了識別和評估財務報表的重大錯報風險。
內容:1、詢問被審計單位管理層和內部其他相關人員。
2、實施分析程式。
3、觀察和檢查。
4、其他審計程式和資訊**。
註冊會計師可以考慮向管理層和財務負責人詢問下列事項:
(1)管理層所關注的主要問題。如新的競爭對手、主要客戶和**商的流失、新的稅收法規的實施以及經營目標或戰略的變化等。
(2)被審計單位最近的財務狀況、經營成果和現金流量。
(3)可能影響財務報告的交易和事項,或者當前發生的重大會計處理問題。如重大的購併事宜等。
(4)被審計單位發生的其他重要變化。如所有權結構、組織結構的變化,以及內部控制的變化等。
①根據《中國註冊會計師審計準則第1301號——審計證據》,註冊會計師實施風險評估程式獲取的資訊構成審計證據的一個組成部分。
儘管註冊會計師通過詢問管理層和財務負責人可獲取大部分資訊,但是詢問被審計單位內部的其他人士可能為註冊會計師提供不同的資訊,有助於識別重大錯報風險。因此,註冊會計師除了詢問管理層和對財務報告負有責任的人員外,還應當考慮詢問內部審計人員、採購人員、生產人員、銷售人員等其他人員,並考慮詢問不同級別的員工,以獲取對識別重大錯報風險有用的資訊。在確定向被審計單位的哪些人員進行詢問以及詢問哪些問題時,註冊會計師應當考慮何種資訊有助於其識別和評估重大錯報風險。
例如:(1)詢問治理層,有助於註冊會計師理解財務報表編制的環境;
(2)詢問內部審計人員,有助於註冊會計師瞭解其針對被審計單位內部控制設計和執行有效性而實施的工作,以及管理層對內部審計發現的問題是否採取適當的措施;
(3)詢問參與生成、處理或記錄複雜或異常交易的員工,有助於註冊會計師評估被審計單位選擇和運用某項會計政策的適當性;
(4)詢問內部法律顧問,有助於註冊會計師瞭解有關法律法規的遵循情況、產品保證和售後責任、與業務合作伙伴的安排(如合營企業)、合同條款的含義以及訴訟情況等;
(5)詢問營銷或銷售人員,有助於註冊會計師瞭解被審計單位的營銷策略及其變化、銷售趨勢以及與客戶的合同安排;
(6)詢問採購人員和生產人員,有助於註冊會計師瞭解被審計單位的原材料採購和產品生產等情況;
(7)詢問倉庫人員,有助於註冊會計師瞭解原材料、產成品等存貨的進出、保管和盤點等情況。
16樓:斬仙豬
冊會計師瞭解被審計單位及其環境,目的是為了識別和評估財務報表重大錯報風險。為了解被審計單位及其環境而實施的程式稱為“風險評估程式”。註冊會計師應當依據實施這些程式所獲取的資訊 ① ,評估重大錯報風險。
註冊會計師應當實施下列風險評估程式,以瞭解被審計單位及其環境:(1)詢問被審計單位管理層和內部其他相關人員;(2)分析程式;(3)觀察和檢查。
17樓:劍牧滕文姝
在澳大利亞,每個企業都必須進行風險評估,尤其是安全生產方面的風險評估更佔有舉足輕重的地位,沒有進行風險評估的生產就不可能獲得批准。我國一些企業也搞風險評估,但非常粗淺。澳大利亞企業的風險評估更注重量化,評估後採取的措施也更具針對性。
風險評估的一般程式
(1)建立環境:戰略環境、機構環境、風險管理環境、制定準則、制定結構。
(2)鑑定風險:會發生什麼風險?它為什麼會發生?
(3)分析風險:確定可能性,確定後果並估計風險的程度。
(4)評價風險:與準則進行比較,對風險等級進行排位。
(5)處理風險:鑑定、評價、挑選處理選項,制定、執行處理計劃。
上述五項程式相互聯絡,相互制約,必須進行資訊交流與反饋,並實行全過程的監控與評審。
風險處理的一般程式\
(1)評價井按等級排列風險。
(2)處理風險:降低風險可能性,減輕風險危害,全部或部分轉移風險,規避風險。
(3)評估處理選擇:考慮可行性成本和收益,建議和選擇處理策略。
(4)制定處理計劃。
(5)實施處理計劃。
18樓:粘茗姬元蝶
1.制定企業內控管理程式,或者運營管理程式。2.評估檢查企業的授權管理系統
。3.潛在利益衝突調查
。4.編制年度內控審計指導,實施內控審計
。5.組織風險評估
。6.內控問題調查(icrq)。7.舞弊瀆職等行為調查。8.評價考核內控工作
。9.參加公司董事會會議,對下屬企業總經理、財務總監在執行內控政策和遵循授權管理方面的情況提出獎懲建議
。10.組織保險業務
。11.培訓企業高階管理人員
。12.內控工作報告
。過程中要注意的幾點:1.與企業戰略目標保持嚴格一致。2.明確實現目標的具體標誌
。3.基於企業實際需要的準確定位
。4.明確內控工作理念
。5.內控戰略目標確定過程必須經過所有者或絕大多數核心管理層的批准和確認,更多風險評估知識可以去www.gov-report.com瞭解
什麼是風險評估?風險評估指的是什麼?
安保評估 負責活動安保工作的團隊是否專業可靠,人數是否足夠等。場地評估 主要包括場地可以容納的人數 場地周邊環境 場地設施的安全性等。裝置評估 活動中需要用到的各類裝置,比如交通 照明等。性質評估 主要包括活動的參與人員 組織方式 時間 地點 內容等。其他評估 節假日 大雨等非常規狀況是否有預案,現...
風險評估的原則是什麼,風險評估包括哪些內容
原則之一是客觀性,專案評估是在專案主辦單位可行性研究的基礎上進行的再研究,其結論的得出完全建立在對大量的材料進行科學研究和分析的基礎之上。在評估實施過程中,既要對可行性研究報告的編制依據及全部資料進行查證核實,又要根據專案評估的內容和分析要求,深入企業和現場進行調查,以蒐集新的資料和材料,以專家的學...
風險評估是什麼意思呢,風險評估是什麼意思啊?
高頓教育 銀行風險評估是指,在銀行中風險事件發生之前或之後 但還沒有結束 該事件給人們的生活 生命 財產等各個方面造成的影響和損失的可能性進行量化評估的工作。 風險評估 risk assessment 是指,在風險事件發生之前或之後 但還沒有結束 該事件給人們的生活 生命 財產等各個方面造成的影響和...