什么叫风险评估
答案:6 悬赏:20 手机版
解决时间 2021-04-03 07:09
- 提问者网友:十年饮冰
- 2021-04-02 12:38
什么叫风险评估
最佳答案
- 五星知识达人网友:街头电车
- 2021-04-02 12:58
说得简单一点,就是你要做一件事之前你要想想你在这件事的时候会遇到什么样的问题,这些问题出现(发生)的概率各是多少,它们的出现会不会导致你的计划不能完成……等等的问题,就叫风险评估。这是对问题不乐观的一个预见,和效益分析相对。
全部回答
- 1楼网友:渡鹤影
- 2021-04-02 18:56
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
- 2楼网友:末日狂欢
- 2021-04-02 17:33
参考这个网站:http://www.ddvip.net/netapp/evaluate/index1/10.htm
相信这里有你满意的答案。
相信这里有你满意的答案。
- 3楼网友:我住北渡口
- 2021-04-02 16:00
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析(Risk Analysis)这个概念,实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。当然,如果细究起来,风险分析应该是处理风险的总体战略(它包括风险评估和风险管理两个部分,此处的风险管理相当于本文的风险消减和风险控制的过程),风险评估只是风险分析过程中的一项工作,即对可识别的风险进行评估,以确定其可能造成的危害。
进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个弱点
更详细的内容,我们会在后面逐步展开。
作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析(Risk Analysis)这个概念,实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。当然,如果细究起来,风险分析应该是处理风险的总体战略(它包括风险评估和风险管理两个部分,此处的风险管理相当于本文的风险消减和风险控制的过程),风险评估只是风险分析过程中的一项工作,即对可识别的风险进行评估,以确定其可能造成的危害。
进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个弱点
更详细的内容,我们会在后面逐步展开。
- 4楼网友:过活
- 2021-04-02 14:36
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析(Risk Analysis)这个概念,实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。当然,如果细究起来,风险分析应该是处理风险的总体战略(它包括风险评估和风险管理两个部分,此处的风险管理相当于本文的风险消减和风险控制的过程),风险评估只是风险分析过程中的一项工作,即对可识别的风险进行评估,以确定其可能造成的危害。
进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个弱点
更详细的内容,我们会在后面逐步展开。
作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
这里需要注意,在谈到风险管理的时候,人们经常提到的还有风险分析(Risk Analysis)这个概念,实际上,对于信息安全风险管理来说,风险分析和风险评估基本上是同义的。当然,如果细究起来,风险分析应该是处理风险的总体战略(它包括风险评估和风险管理两个部分,此处的风险管理相当于本文的风险消减和风险控制的过程),风险评估只是风险分析过程中的一项工作,即对可识别的风险进行评估,以确定其可能造成的危害。
进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个弱点
更详细的内容,我们会在后面逐步展开。
- 5楼网友:旧脸谱
- 2021-04-02 13:41
说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。
为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。
用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:
风险 = 钱被偷走
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡
回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。
让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:
风险 RPC DCOM漏洞
资产 服务器遭到入侵
影响 数据库服务器
威胁 入侵者
弱点 中断三天
为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。
用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:
风险 = 钱被偷走
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡
回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。
让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:
风险 RPC DCOM漏洞
资产 服务器遭到入侵
影响 数据库服务器
威胁 入侵者
弱点 中断三天
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯