风险评估三要素是风险因素、风险事故、风险损失。
1、风险因素
风险因素是针对项目实际情况,去挖掘风险产生的根本原因,定位风险隐患点。一般风险因素分为显性因素和潜在因素,也可以说是直接因素或者间接因素。
2、风险事故
风险事故有等级之分,一般是小、中、大三个等级,或者使用数字1-5进行等级标记。分析风险等级要从影响项目的质量、功能、使用效果、财产损失和人员伤亡等方面综合判定。
3、风险损失
风险损失一般是从经济损失和人员伤亡两大方面确定。经济损失是指风险事故发生后造成项目发生的各种费用的综合,包括直接费用和修复事故的费用。人员伤亡是指要根据在项目建设过程中的人员伤亡类别和严重程度综合认定。
风险评估的方法:
1、基线评估
基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
2、详细评估
详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
3、组合评估
基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于在实践当中,组织多是采用二者结合的组合评估方式。
温馨提示:答案为网友推荐,仅供参考
相似回答