信息安全风险评估
企业风险评估内容
(1)分析项目:一般按企业内部控制的风险点确定和划定。
(2)测评方法:根据分析方法确定,一般分为询问和检查两个方法。
(3)事件的风险等级:一般分为特大、较大、一般、较低、忽略等五个级别,分别用5、4、3、2、1代替。得分越高则说明企业风险越大,得分越低说明风险越低。
(4)确定权重:是指某项目在整个风险控制范围中的重要程度,企业整个风险权重为1。按其重要程度,在评估前给定权重。
企业风险评估方法
德尔菲法,德尔菲法是古希腊的一座城市,因阿波罗神殿而**,由于阿波罗有着高**的预测未来的能力,故德尔菲成了预测、策划的代名词。德尔菲法较早出现于20世纪50年代末,是当时美国为了预测在其“遭受后,可能出现的结果”而发明的一种方法。1964年美国兰德(RAND)公司的赫尔默(Helmer)和戈登(Gordon)发表了“长远预测研究报告”,将德尔菲法用于技术预测中,以后便*地应用于美国和其他国家。
风险评估过程构成:
考虑风险的特征。风险是否已经识别、它们是否可控和它们的影响将会怎样,这些都是需要考虑的。控制已经识别(例如内部可控的)的风险而不是其他的(例如外部不可控的)风险,这是可能的。所有可能的风险特征都需要识别。建立测量系统。风险需要用定量或定性(或综合的)方法测量和评估。一些方法是使用已经建立的模型,这些模型输入了风险的特征和风险面临的情况,这样,根据历史经验就可以做出预测。