当前位置:网站首页 >> 文档 >> 最新工程项目风险评估的方法(通用8篇)

最新工程项目风险评估的方法(通用8篇)

格式:DOC 上传日期:2024-01-12 11:22:46
最新工程项目风险评估的方法(通用8篇)
    小编:zdfb

总结是对过去的记录和总结,也是为未来的规划和目标铺垫。合理运用段落过渡词,使总结更具连贯性。以下是小编为大家整理的一些总结范文,希望能给大家提供一些写作上的灵感和参考。

工程项目风险评估的方法篇一

风险评估是指在风险识别与估计的前提下,运用相关数学理论并结合风险评估理论构建工程项目风险评估模型,根据模型预估工程项目发生风险的概率及对应的后果,进而发现该工程项目的关键风险并确定整个项目的风险水平,从而为风险的处置提供科学参考依据以保障项目顺利施工。具体工程项目风险评价主要包括如下内容:

确定工程项目风险基准需要结合项目的实际情况,根据项目主体的项目目标,按照每一类风险的后果确定其相应的可接受水平,不仅要确定单项风险基准,还需要根据总体目标来确定整体风险基准。一般风险在开始阶段可接受水平相对较高,但随着项目的实施,不确定性逐渐减少,可接受水平会逐渐降低,因此,项目风险评价基准应随时间的推移而不断进行调整。

项目总体风险水平的确定是在确定各单项风险之后,根据各单项风险之间的相互作用及其转化关系,对风险的可预见性、风险所对应的各种后果与发生的概率进行合理的估计,因此,评价工程项目整体风险非常复杂。一般而言,工程项目风险后果的严重性及其对应发生的概率符合“二八原理”,即20%的风险对工程项目构成了80%的严重威胁。也就是说,可能导致严重后果的风险出现的概率低,而导致不严重后果的风险出现的概率高。同时,确定整体项目风险还需考虑多个导致不严重后果的风险耦合时,可能会造成相当严重的后果,这在确定整体项目风险水平时也需要认真考虑。

若某单项风险大于相应的评价基准时,则可进行成本效益分析来寻找其他风险较小的方案进行替代;若项目整体风险比整体评价基准稍大时,则可考虑重新拟定新的项目总体方案。

当项目总体风险不大于总体评价基准时,则表示项目风险可接受,工程项目可按计划继续进行,否则,考虑放弃项目。在实际的计算中,需要考虑到的因素种类很多,各因素之间还需要划分成若干层次,并对各层次之间的因素划分评价等级,之后求得各层矩阵,数学方法可采用模糊综合评价的方法,其主要是在构建等级模糊子集对被评价的工程项目模糊指标进行量化(即确定隶属度)基础上,根据模糊变换原理来综合各指标形成最终整体评价结果。

评判顺序为:首先对最低层次的指标采用模糊综合评价的方法进行评价,然后根据评价结果构建上一层次的模糊矩阵并采用模糊综合评价法进行评价。根据此方法由底而上逐层进行模糊综合评价,进而得到系统总体的综合风险评价结果。

风险的识别与评估的最终目的是对工程项目提供科学的决策依据及对策,因此,相关的工程项目风险管理人员在风险识别与评估之后制定相应的风险应对计划与措施。具体风险应对计划如图1所示。制定风险的应对措施的主要目的是减少项目风险可能造成的危害,从而提高对工程项目风险的控制,减少损失。一般情况下,项目风险应对措施包括三种方法,即风险分散与转移、风险损失控制、风险自留与风险回避。

此方法是工程项目风险管理中最为常见的方法,采用这种方法应注意三个原则:a.要能够降低工程造价和有利于合同的履行。b.谁能够防止风险或控制风险或减少风险造成的损失,就由谁承担该风险。c.要有利于调动承担方的积极性。

根据工程项目预估的风险,需要制定应对措施来降低风险发生的概率及其可能造成的严重后果,主要包括预防损失和减少损失两个方面。a.预防损失,例如合理的管理及制定安全计划等,主要目的在于减少甚至消除损失发生的概率。b.减少损失,包括损失最小化方案和损失挽救方案,例如制定灾难计划、应急计划等,其主要目的在于减少风险发生时所造成后果的严重性。风险损失控制方案也可以是预防损失与减少损失的组合方案。

风险自留也称风险承担,企业以其内部资源来承担项目风险所造成的损失。风险回避是一种以消极的放弃和中止的方式来避免可能产生的潜在风险,它与损失控制一样,均是以控制项目风险本身为对象,但损失控制是主动、积极的风险对策。在采用风险回避对策时要注意有些风险回避可能是不实际甚至不可能回避的,若项目风险越复杂,采取回避对策就越不可能;风险回避同时也可能意味着获得收益的可能性;回避一种风险的同时可能会产生另外一种新的风险。

随着经济的发展工程项目已经成为社会发展中的主要组成部分,其具有投资大、建设周期长、工程量大、技术复杂多变、一次性等特点,因此要想使得工程项目能顺利进行就必须严格执行建筑程序、施工规范等,然而在项目实施过程中不可避免的会造成各种不确定性的因素,影响工程项目的质量、进度、效益等,因此本文对工程项目的风险评估与相应的对策进行了分析,同时绘制工程项目风险流程图,从而揭示出工程项目风险对策的决策过程。

工程项目风险评估的方法篇二

1组织应按下列内容进行风险评估:

1风险因素发生的概率,

2风险损失量的估计。

2组织应利用已有数据资料和相关专业方法进行风险因素发生的概率估计,

3风险损失量的估计应包括下列内容:

1工期损失的估计。

2费用损失的估计。

3对工程的质量、功能、使用效果等方面的影响。

4组织应根据风险因素发生的概率和损失量,确定风险量,并进行分级。

5风险评估后应提出风险评估报告。

工程项目风险评估的方法篇三

新加坡是推行纳税评估制度较为规范的国家,其纳税评估工作有三个特点:一是纳税评估分工较细。税务处理部负责发放评税表,处理各种邮件、文件和管理档案;纳税人服务部对个人当年申报情况进行评税;公司服务部对法人当年申报情况进行评税;纳税人审计部对以往评税案件和有异议的评税案件进行复评;税务调查部对重大涉税案件进行调查。二是重视纳税人的自查自纠,在评税工作中,都要先给纳税人一个主动坦白的机会。三是评税管理工作主要依托计算机系统进行。

英国也是纳税评估制度推行得较好的国家。英国各税种的税收征管一般都需要经过纳税申报、估税、税款缴纳和税务检查等程序。估税是税收征管程序中的重要环节,如果税务局认为纳税人在某一时期的税收申报不完全,则可以对其少缴的税款部分签发估税单,如果稽查员发现纳税人有利润未被估税,或者纳税人获得了无资格享受的减免,可以对纳税人的这些应课税所得签发补缴估税单。美国税务机关在纳税人自行申报的基础上,将重点力量放在税务审计上。税务审计人员约占税务机关人员的一半以上。纳税人申报后,税务部门必须严格审核纳税人申报的每份报表。纳税人的报税资料输入电脑后,电脑会自动进行审核比较。如果在审核过程中,发现纳税人有计算错误或申报不实者,税务部门会书面通知报税人。审计选案主要集中在信息处理中心。税务审计对象确定的基本程序是,根据税务部门事先确定的计分标准,由电脑评分,然后根据评分高低加以确定。通常是收入越高、扣除项目越多、错漏越多者,分数就越高,成为审计对象的可能性就越大。

日本的税务审计由专职税务人员负责。审计主要分为办公室审计和实地审计两大类。公司把纳税申报表送来后,审计员马上进行办公室审计。这时审计的主要内容是对同行业、同规模的公司进行比较,审计按公司及行业的类别进行。实地审计就是调查公司账簿保存、会计记录保存、商品库存的实际状况。它是在办公室审计对公司自核税额不确信时,进一步采取的审计程序。根据纳税评估结果,日本税务部门针对纳税人财务制度是否健全,分别实行“白色申报”和“蓝色申报”,激励纳税人在健全财务制度的基础上进行正确的申报。

德国的税务审计人员都是高级税务官员,他们均经过严格的挑选,有较高的业务水平和3至4年的工作经验。税务审计对象是通过计算机打分选户确定的。审计人员在审计前必须熟悉被审计对象的生产经营情况和纳税情况,通过资料信息的分析寻找企业偷税的疑点。如果企业不提供会计核算资料,或资料不齐全,审计人员可采用一定的方法进行税款估算。审计结束后,审计人员要把审计出来的问题逐一向企业通告。

俄罗斯税法详细规定了税务审计的类型,以及实施税务审计的方法和条件。税务机关实行室内审计和实地审计(也称全面审计)两种形式。室内审计适用于所有纳税人,由税务机关强制实施。其主要依据是税务机关掌握的纳税人的经营活动材料和纳税人提供的报税单和其他税收凭证。大部分公司的室内审计至少每季1次。税务机关对某些税收项目进行初审,如果审查中发现填报错误或所提供的材料和凭据相矛盾,税务机关要通知纳税人在规定的期限内予以更正。如发现偷税漏税,则对纳税人下发补税和罚款通知书。

国外纳税评估的成功经验。

1、多渠道采集信息,实现信息共享。

各国税务机关都通过多种渠道采集涉税信息,不仅包括税务机关掌握的日常征管信息、纳税人报送的纳税申报表信息等内部信息,还包括从海关、金融机构、证券市场等机构共享的外部信息。例如,澳大利亚从经税务人员甄别后的举报、银行、海关、移民局、证券市场信息以及外部商用数据库获取足够的外部信息,同时从税务当局数据信息库采集内部信息,包括纳税人申报资料、历史评估资料、审计资料等,这些信息全部录入计算机网络数据库,供评估人员调用。美国国税局计算机征管网络与金融、海关等部门联网形成了十大税务管理计算中心,共享纳税人的涉税资料,为纳税评估提供了信息支持。

2、通过设置科学化的指标及模型,实现信息处理模型化、系统化。

纳税评估指标是对纳税申报的真实性、合理性、合法性做出初步判断的重要依据。美国、澳大利亚、新加坡等国家非常注重应用现代化的信息化手段,通过设置科学化的指标体系、建立规范化的模型等方法,实现信息处理的模型化、系统化。美国国税局下属各级检查部首先由计算中心自动对申报资料分类,由评税模型检查纳税人是否已经登记、申报纳税,并对申报单进行分析比较,审查是否如实申报,然后通过筛选过程核实纳税人是否正确计算税款。纳税评估计分标准的模型及参数根据相关资料动态调整,使纳税人很难弄虚作假,保证了评估的有效性、公平性和权威性。

3、制定相关法律法规,明确定位纳税评估。

许多国家都通过法律、法规的形式,明确规定纳税评估的法律地位,并规定了纳税评估的形式、范围、机构设置、流程等具体内容。俄罗斯通过税法典,规定了为实行税收监督,纳税人必须按企业所在地、企业的分支机构和代表机构所在地、个人居住地,以及按归其所有的应课税的不动产和交通运输工具所在地,接受税务机关审计,并规定了税务审计的类型分为室内审计和实地审计。德国也通过税务审计法规定了税务审计的范围、形式及审计期间等内容。

4、设置专门评估机构,应用专业化评估人才。

德国、新加坡、澳大利亚的纳税评估都设置了专门的评估机构,并配备了专业的评估人员,同时对纳税评估机构与稽查机构的界限进行了比较清晰的界定,逐步形成了比较健全的激励纳税评估人才成长的机制。德国的税务审计机构比较完善,税务审计的最高机构是联邦财政部和各州的财政局。联邦财政局下设税务审计局,负责大型企业及公司集团的税务审计;州财政局下设税务审计局,负责中小型企业的税务审计。德国对现场审计人员素质的要求比较高,招聘的税收审计人员通常要求获得法律、经济学、数学等学科的大学学位,而且通过专门考试,或者至少在一个税务局工作一年以上。在税收审计培训方面,新雇员必须完成至少6个月的新人员训练。在新人员训练结束后,每位税收审计员需要独立审计三个小企业,并将审计报告提交税务局评估。澳大利亚也专门把纳税评估机构和稽查机构分设,以维多利亚州税务局为例,总共400人的队伍,除70人从事稽查、160人从事电话服务以及信息处理工作、60人从事内部管理以外,其他130人都从事纳税评估工作。

工程项目风险评估的方法篇四

全面彻底分析并掌握即将投建施工的工程项目,明确基本信息,广泛搜集其相关资料,例如:工程所处位置、设计信息、气象条件、地质状况以及其他方面的资料信息等等。

(1)对评价层次单元与研究专题进行分类规划。

(2)对于不同评价单元未来预测出的风险事故加以归类、划分。

(3)深入而全面地总结探究不同事故风险发生原因、概率以及可能造成的后果等等。

(4)选择定量分析与定性评价相接结合的方法围绕风险事故展开评论与估计。

(5)针对不同的风险事故类型对应给予科学的控制性方法与策略。

(6)围绕不同评价单元风险展开评估与评价。

(7)把不同评价单元的评价集中整理,最终形成总体风险评价。

(8)获得最终的总结与经验。

工程项目风险评估的方法篇五

通常的风险评估过程为:分析并辨认风险因素,从而预测未来会出现的风险性因素与事件,通过定量与定性两种方法对所辨认出的风险进行深入全面的论证,从而对风险因素进行分类,以及不同风险发生概率以及风险分布状况等等。各类风险的危害等级。利用单个与整体风险评估准则来分别分析单个项目风险以及整体项目风险大小,分析其是否可以被接受,以此来制定出科学而有效的解决对策,或者对工程项目实施科学的调整。

1.2风险评估基本理论分析主要的风险评估理论主要包括:风险识别、风险估计、风险评价与决策。

(1)风险识别。

就是利用科学的方法、途径和措施来全面、客观地判断、认识风险因素,并实施量化识别。桥梁构造与施工都相对繁杂,在有限的资料信息条件下,可以通过专家访问,问卷调查等模式进行估计分析,从中发现核心风险要素。

(2)风险估计。

风险估计也是风险评估模式之一,具体体现为针对任意一风险来评估其出现的概率、可能带来的影响等等。具体涵盖两大点:概率估计与损失估计。第一,概率估计通过不断做试验,利用科学的统计学理论来计算分析。也可以立足于概率原理,将事件分析成基本事件,通过分析的形式加以计算。采用这两类方法最终获得概率数值是客观的、实际的,不被任何人的主观意识所左右,可以被叫做客观概率。现实的桥梁工程项目风险估计中,往往是资料信息不充足,手头掌握的有限信息量也无法付诸实验,这样就很难进行精准的预测、运算与分析,导致概率概数等也难以精准地得出,所采用的多数是主观概率,容易造成偏离客观现实,因此实际工作中最重要的就是提升估计的客观度。第二,损失估计损失估计多年来一直未被提上日程,然而,实际上对于桥梁工程项目来说是十分重要的,通常利用经济学方面的方法,通常对损失进行科学划分,分成几个小的类别,包括:直、间接损失、人身损害、环境损失等等,再分别计算出不同损失的具体数值。这样就能更加精准地计算损失数量,但是,却难以操作实施,不妨依然前面提到的方法,那就是聘请专家,凭借其技术、知识和经验来科学预测分析,再采用科学的计算、运算方法,提高估计的客观性。

立足于风险识别与估计,桥梁工程项目开始进行风险评价,创建一个全面覆盖的风险评级模型,着重分析风险概率与所带来的后果,从整体上核算出系统的风险数值。再参照风险接受规定与评价指标,来全面分析、综合评价系统的风险,从中分析出系统风险能否被承受,同时提出科学的风险应对策略与解决措施,从而确保桥梁工程项目建设能够在安全风险内开展。较为常用的风险评价法主要包括:权衡法、彻底规避法、风险评价综合方法等等。然而,桥梁工程项目建设施工是一项非常复杂的工作,会受到诸多因素、各种条件的影响。其中采用综合方法能够产生更好的效果和意义,对于桥梁工程项目来说,必须进行全面的风险因素综合分析。首先,依靠专家调查分析法,明确不同因素的风险概率,以及可能造成的损失大小。其次,参照不同因素的地位轻重、意义大小来定夺其加权系数。其次,在综合评价算法基础上,把隶属度同加权系数合并,最终算出风险大小。

(4)风险决策。

一切风险识别、估计与计算最终的目标都是为科学决策做铺垫,能够通过有效的决策方式来控制风险,减少风险的危害,根据风险评价指标来对决策方案作出科学的'取舍,获得最合适、最优方案,并确保贯彻落实。

工程项目风险评估的方法篇六

项目的可行性研究为项目风险识别提供了很好的基础。在进行可行性研究时,对项目可能发生的风险类别和发生的概率等都做一定程度的分析和研究。

2、对识别风险进行定性定量分析。

识别风险后,要对所有诱发风险的因素可能产生的影响进行定性和定量的分析和描述,如其影响可能使得项目的商业可行性发生改变(如项目回报率过低),或者对项目最终产出和结果产生间接的影响(如项目输出质量和工期发生变化)等。

3、提出相应的风险管控措施。

对绝大多数风险而言,都可以找到相应的对冲措施。在项目规划前期,充分考虑项目的风险管理不失为一种有效的策略。论证成熟的风险管控措施需要被纳入项目合同的.拟定和谈判中,以保障项目施工和运营的顺利进行。

4、风险在合作伙伴之间合理分配。

在充分识别风险、分析影响和考虑对冲措施后,我们可以将特定风险合理分配给最能有效管理风险的一方。例如将政治、法律和监管风险交给政府来管理,而社会资本机构则承担管理、运营、项目商业融资和财务等风险。对于双方都不能很好管理的风险,可以考虑在不减损项目经济价值前提下进行商业投保,将项目风险转嫁给第三方;在不能如愿找到第三方保险的情况下,可以事先对风险发生后合同双方彼此的责任和义务予以清晰的阐述和说明。政府如果在风险分配过程中能主动承担一部分额外的风险(如运营、管理等商业风险),无疑将提高该项目对投资者的吸引力。

参考文献。

《政府ppp项目管理机构设置与能力建设》。

工程项目风险评估的方法篇七

风险判断与识别是一项复杂又繁琐的工作,其中需要经历多个环节,涉及到多项复杂的工作,已经成为工程项目风险管理的必备前提,为了全面、彻底地预测出桥梁工程项目的风险,就要明确项目风险识别的依据,对于桥梁工程项目来说,主要从下面几点入手。

(1)工作经验。

要想能够准确、全面、客观地识别工程项目风险,就需要工程项目人员具备全面、丰富的经验,在自身已有的工作经验基础上,来积极吸收和听取他人的想法和建议,从而做出科学、合理的取舍与选择。风险识别人员必须善于结合以往的工作经验,将曾经成功识别出的风险因素列入其中,从而提升风险的确定性。

(2)规划性资料。

风险评价、预测与管理离不开一些规划性资料以及纲领性文件的支持,只有这样才能最初科学、合理的预测,工程项目的风险管理规划涵盖多方面的内容,例如:风险辨认、工作人员的安排、组织与规划等等,桥梁工程项目规划中也涵盖多方面内容,例如:项目投资、建设速度等内容。这两大规划性文件能够为风险的辨认与评价提供根据,这样才能促进风险识别工作的科学、完善、顺利进行。

桥梁工程项目存在很多方面的风险,而且不同风险之间也会彼此影响、相互制约,为了有效控制风险,应该对不同风险进行归类划分,弄清不同风险的类型、原因以及可能带来的后果,从而对应采取有效的解决与应对策略,减少风险因素的出现或发生,创造出更加可观的经济效益。

4总结。

桥梁工程项目是一项复杂又繁琐的工程项目,其中存在多种复杂的风险因素,为了有效遏制风险、控制风险发生概率、减少风险造成的损失,就必须明确桥梁工程项目风险评估实用方法,选择科学合理的风险评估程序,从而提高工程项目的运作效率,获得更高的经济效益。

工程项目风险评估的方法篇八

对于风险评估来说,其三个关键要素是信息资产、弱点/脆弱性以及威胁。每个要素有其各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。信息安全风险评估的具体工作流程如图1所示。

一、风险评估的准备。

风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。组织对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受组织的商业需求及战略目标、文化、业务流程、安全要求、规模和结构所影响。不同组织对于风险评估过程中的各种子过程可能存在不同的要求,因此在风险评估实施前,组织应:

1.确定风险评估的范围;

2.确定风险评估的目的,为风险评估的实施提供导向;

3.建立适当的组织结构;

5.获得最高管理者对风险评估策划的批准。

二、风险评估的实施。

组织应根据策划的结果,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估。在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。

三、风险计算。

风险计算的模型如图2所示。

我们以下述函数进行表示:

r=f(a,v,t)=f(ia,l(va,t))。

其中:r表示风险;a表示资产;v表示脆弱性;t表示威胁;ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);va表示某一资产本身的脆弱性,l表示威胁利用资产的脆弱性造成安全事件发生的可能性。

具体而言分为以下几个步骤:

1.首先对资产的弱点进行排序;

2.针对每一个弱点,确定可能利用此弱点造成安全事件的威胁的类型;

3.给确定的威胁赋值;

4.将威胁值与脆弱点值相乘,得出安全事件发生的可能性;即:

安全事件发生可能性=l(威胁可能性,脆弱点严重性);

5.根据资产的重要程度以及安全事件发生的可能性计算风险值,即:

风险值=r(资产重要程度,安全事件发生的可能性)。

四、风险识别。

风险识别包括三个部分:分析风险来源;识别区域风险;风险关联分析。

1.分析风险来源。

经过资产、威胁、脆弱性的计算后形成一个风险列表,需要对该列表的风险进行分类,并在分类的基础上进行风险合并。在对风险进行分类合并时,首先需要考虑风险所发生的位置,然后考虑风险的来源。风险的来源可以从威胁、脆弱性和安全管理三个方面进行。

风险发生的位置可以从资产所在的安全域或从信息安全发生的层次进行划分。资产所在的安全域指具有相同安全属性的某一物理区域或逻辑区域,该区域和其他安全区域具有明显的边界;信息安全发生的层次指物理层安全、网络层安全、操作系统层安全、应用层安全、数据层安全。风险的来源从威胁角度进行合并,可以从威胁的来源,发生的途经,影响的大小角度进行划分整理。风险的来源从脆弱性角度进行合并,从大的方面有两类,一类是it技术类脆弱性,另一类是管理类脆弱性。安全管理类脆弱性可以从设计、开发、验收、运行、维护、人员、业务持续性管理等方面进行分析。

2.识别区域风险。

分类合并后的风险需要再次进行人工判断,通过这种判断可以发现被分析的安全域的主要威胁、主要影响和发生的可能性。这种经过判断的风险需要进行单独说明,使最后形成的风险具有更明确的意义。

3.风险关联分析。

经过风险识别后的风险是系统中的主要风险,对于复杂系统,还需要考虑多个风险之间的相互关系。这种主要风险之间的潜在相互影响包括:不同安全区域风险的相互影响,不同业务风险之间的影响,不同系统之间风险的影响分析。经过风险关联分析后还需要重新修正风险识别列表。(未完待续)。

判定风险结果。

确定风险数值的大小不是组织风险评估的最终目的。重要的是明确不同威胁对资产所产生的风险的相对值,即,要确定不同风险的优先次序或等级。对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法,也可以采用区间划分的方法将风险划分为不同的优先等级,这包括将可接受风险与不可接受风险进行划分,接受与不可接受的界限应当考虑风险控制成本与风险(机会损失成本)的平衡。风险的等级应得到组织管理层的评审并批准。

组织在对风险等级进行划分后,应考虑法律法规(包括客户及相关方)的要求、组织自身的发展要求。根据风险评估的结果确定安全水平,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式包括:回避风险、降低风险(降低发生的可能性或减小后果)、转移风险、接受风险。控制措施的选择应兼顾管理与技术,具体地说,针对各类风险应根据组织的实际情况考虑以下十个方面的控制:安全方针、组织安全、资产的分类与控制、人员安全、物理与环境安全、通信与运作管理、访问控制、系统的开发与维护、业务持续性管理、符合性。在风险处理方式及控制措施的选择上,组织应考虑发展战略、企业文化、人员素质,并特别关注成本与风险的平衡,处理安全风险以满足法律法规及相关方的要求。管理性与技术性的措施均可以降低风险,但在控制措施的选择上应遵循上述原则。单纯选择某种控制措施可能会降低成本,但也可能引入新的风险,因此应注意预防性控制措施与检查性控制措施之间的关系。在预防性控制不足以确保风险得到降低的情况下应追加检查性控制措施。通常应该考虑联合各种选择。

对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行,选择的控制措施和已有的控制措施应当考虑降低威胁发生的可能性。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应由管理层依据风险接受的原则,考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的充分性,必要时可以进行再评估,通过控制措施实施的有效性,评价残余风险是否可以接受。

记录风险结果。

风险评估过程需要形成相关的文件及记录,记录是一种特殊的文件,组织可考虑以下控制:

1.文件发布前得到批准,以确保文件是充分的;

2.必要时对文件进行评审、更新并再次批准;

3.确保文件的更改和现行修订状态得到识别;

4.确保在使用时,可获得有关版本的适用文件;

5.确保文件保持清晰、易于识别;

6.确保外来文件得到识别;

7.确保文件的分发得到适当的控制;

8.防止作废文件的非预期使用,若因任何目的需保留作废文件时,应对这些文件进行适当的标识。

风险评估的角色及职责。

1.风险评估的角色。

信息安全风险评估(以下简称风险评估)在具体实施过程中将涉及多个参与方,参与方在评估中扮演不同的角色。在一个完整的信息安全风险评估当中,一般包括主管机关、信息系统拥有者、信息系统承建者、信息安全评估机构以及信息系统的相关机构。

2.风险评估的职责。

其各自的职责为:

(1)行政审批。

主管机关具有风险评估的行政审批权力,主要负责提出、制定并批准本部门的信息安全风险管理策略,领导和组织本部门内的信息安全评估工作。基于本部门内信息系统的特征以及风险评估的结果,判断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行。检查信息系统运行中产生的安全状态报告;定期或不定期地开展新的信息安全风险评估工作。

(2)组织协调。

信息系统拥有者具有风险评估的组织协调权力,将负责制定安全计划,报主管机关审批;组织实施信息系统自评估工作;配合强制性检查评估或委托评估工作,并提供必要的文档等资源;向主管机关提出新一轮风险评估的建议;改善信息安全防护措施,控制信息安全风险。

(3)措施整改。

信息系统承建者应根据对信息系统建设方案的风险评估结果修正安全方案,使安全方案成本合理、积极有效,在方案中有效地控制风险;规范建设,减少在建设阶段引入的新风险;确保安全组件产品得到了相关机构的认证。

(4)具体实施。

信息安全评估机构提供独立的信息安全风险评估;对信息系统中的安全防护措施进行评估,以判断这些安全防护措施在特定运行环境中的有效性以及实现了这些措施后系统中存在的残余风险;提出调整建议,以减少或根除信息系统中的脆弱性,有效对抗安全威胁,控制风险;保护风险评估中获得的敏感信息,防止被无关人员和单位获得。

(5)辅助支持。

信息系统的相关机构为风险评估提供辅助支持,遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险;协助风险评估机构确定评估边界;在风险评估中提供必要的资源和资料。

根据评估的目的、评估方与被评估方的关系,以及评估方和被评估信息资产的关系、评估的深浅程度等不同的划分原则,国内外现存的风险评估也有多种形式,本指南所指风险评估形式主要以评估的发起方为划分依据。大体可分为自评估和他评估两大类,自评估是由被评估信息系统的拥有者发起的,并依*自身的力量,对其自身的信息系统进行的风险评估活动。他评估则相反,通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。他评估也是经常提及的检查评估。无论自评估还是他评估,都可以通过委托第三方专业评估机构进行评估的方式来进行,这就是委托评估。

全文阅读已结束,如果需要下载本文请点击

下载此文档
a.付费复制
付费获得该文章复制权限
特价:2.99元 10元
微信扫码支付
b.包月复制
付费后30天内不限量复制
特价:6.66元 10元
微信扫码支付
联系客服