基线风险评估耗费资源少、*、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,项目风险评估,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。评估途径将基线和详细风险评估的优势结合起来,风险评估,既节省了评估所耗费的资源,又能确保获得一个系统的评估结果,而且,组织的资源和资金能够应用到发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,组合评估也有缺点:如果初步的风险评估不够准确,银行风险评估,某些本来需要详细评估的系统也许会被忽略,较终导致结果失准。
风险评估方法
1、风险因素分析法。风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。其一般思路是:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
2、模糊综合评价法
3、内部控制评价法。内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。
详细评估的优点在于:
1、组织可以通过详细的风险评估而对信息安全风险有一个的认识,并且准确定义出组织的安全水平和安全需求;
2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
基线风险评估耗费资源少、*、操作简单,但不够准确,社会稳定风险评估报告,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。