【正文】 而達到簡化問題的處理與分析的目的。 1）綜合指數法是多指標系統(tǒng)的一種評價方法?；疑到y(tǒng)理論是研究和解決灰色系統(tǒng)分析、建模、預測和控制的理論。 模糊決策理論不是把問題變成模糊不清的東西，相反，它具有數學的共性：條理分明、一絲不茍，它是通過規(guī)范化的理論體系來描述模糊的對象，使模糊對象能清晰的呈現在決策者面前，這是經典的數學理論所不能做到的。 從風險評估過程整體上看，風險評估方法有： 基于資產驅動的風險評估方法、威脅驅動的風險評估方法、脆弱點驅動的風險評估方法、基于案例的風險評估方法 等。 如前所述，安全措施可以 降低 安全事件造成的 影響，也可以 降低 安全事件發(fā)生的 可能性 ，在對組織面臨的安全風險有全面認識后，應根據風險的性質選取合適的安全措施，并對對 可能的殘余風險 進行分析，直到殘余風險為可接受風險為止。不同類型的安全事件，其可能性影響因素也有點不同。風險事件可能導致一定的法律責任，如由于安全故障導致機密信息的未授權發(fā)布、未能履行合同規(guī)定的義務或違反有關法律、規(guī)章制度的規(guī)定，這些可用由于應承擔應有的法律責任可能支付賠償金額來表示經濟損失，當然其中有很多不確定因素，實際應用時可參考慣例、合同本身、有關法律法規(guī)的規(guī)定。風險評估流程（ 1）風險計算威脅識別脆弱性識別威脅出現的頻率脆弱性的嚴重程度資產的重要性安全事件的損失風險值資產識別安全事件的可能性風險評估流程影響分析 影響分析，安全事件對組織的影響可體現在以下方面： p直接經濟損失 :風險事件可能引發(fā)直接的經濟損失，如交易密碼失竊、電子合同的篡改（完整性受損）、公司帳務資料的篡改等，這類損失本易于計算。 綜 合安全事件所作用的 資產 價 值 及脆弱性的 嚴 重程度，判斷安全事件造成的 損 失 對組織 的影響，即安全 風險 。 風險評估流程5. 已有安全措施的確認 對已采取的安全措施進行確認，至少有兩個方面的意義。也可以對脆弱點被利用后 對資產的損害程度 以及被利用的可能性 分別評估，然后以一定方式綜合。需要注意的是，不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個弱點。數據 庫 從 補 丁安裝、 鑒別 機制、口令機制、 訪問 控制、網 絡 和服 務設 置、 備 份恢復機制、 審計 機制等方面 進 行 識別 。 管理脆弱點 又可分為技術管理和組織管理兩方面，前者與具體技術活動相關，后者與管理環(huán)境相關 。評估者應根據 經驗和（或）有關的 統(tǒng)計數據來分析 威脅出現的頻率及其強度或破壞能力?？梢韵确謩e對資產在以上各方面的重要程度進行評估，然后通過一定的方法進行綜合 ,可得資產的綜合價值（ 加權評估）風險評估流程賦值 標識 定 義5 極高 包含 組織 最重要的秘密，關系未來 發(fā) 展的前途命運， 對組織 根本利益有著決定性影響，如果泄漏會造成災 難 性的 損 害 4 高 包含 組織 的重要秘密，其泄露會使 組織 的安全和利益遭受 嚴 重 損 害3 中等 包含 組織 的一般性秘密，其泄露會使 組織 的安全和利益受到 損 害2 低 包含 僅 能在 組織 內部或在 組織 某一部 門 內部公開的信息，向外 擴 散有可能 對組織 的利益造成 損 害1 可忽略 包含可 對 社會公開的信息，公用的信息 處 理 設備 和系 統(tǒng)資 源等資產機密性賦值表風險評估流程3. 威脅識別與評估(1)威脅識別 威脅是構成風險的必要組成部分，因而威脅識別是風險識別的必要環(huán)節(jié)，威脅識別的任務是對組織資產面臨的威脅進行全面的 標識 。 資產識別的方法主要有 訪談、現場調查、問卷、文檔查閱 等。 組建適當的風險評估管理與實施團隊，以支持整個過程的推進4．選擇方法 應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體 的風險判斷方法，使之能夠與組織環(huán)境和安全要求相適應。當然，綜合評估也有缺點：如果初步的高級風險分析不夠準確，某些本來需要詳細評估的系統(tǒng)也許會被忽略，最終導致某些嚴重的風險未被發(fā)現。目前，世界各國推出的風險評估方法多屬于這一類，如 AS/NZS 4360、 NISTSP800 OCTAVE以及我國的 《 信息安全風險評估指南 》 中所提供的方法。 風險評估策略2 詳細風險評估 詳細風險評估要求對資產、威脅和脆弱點進行詳細識別和評價，并對可能引起風險的水平進行評估，這通過不期望事件的潛在負面業(yè)務影響評估和他們發(fā)生的可能性來完成。 基線評估的的缺點是： (1)基線水平難以設置，如果基線水平設置的過高，有些 IT系統(tǒng)可能會有過高的安全等級；如果基線水平設置的過低，有些 IT系統(tǒng)可能會缺少安全，導致更高層次的暴露； (2)風險評估不全面、不透徹，且不易處理變更。 影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環(huán)境和安全要求相符合。風險評估概述為什么要做風險評估 安 全源于 風險 。風險評估概述 圖 中方框部分的內容 為風險評 估的基本要素 。 安全需求可體現在技術、組織管理等多個方面。風險評估概述風險評估要素 安全措施可能實現一個或多個下列功能：保護、震懾、檢測、限制、糾正、恢復、監(jiān)視、安全意識等。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現為路由器本身的價值、修復所需的人力物力等；而間接損失則較為復雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務，導致公司業(yè)務量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務，其間接損失更為巨大。 風險可以形式化的表示為： R=(A,T,V)，其中 R表示風險、 A表示資產、 T表示威脅、 V表示脆弱點。 管理脆弱點 則是指組織管理制度、流程等方面存在的缺陷或不足。即： 威脅總是要利用資產的弱點才可能造成危害 。內部人 員未 經 授 權 信息 發(fā) 布、未 經 授 權 的信息 讀 寫、抵 賴 、 電 子攻 擊 （如利用系 統(tǒng) 漏洞提升 權 限）、物理破壞（系 統(tǒng) 或存 儲 介 質損 壞）、盜竊、 越 權 或 濫 用 、 誤 操作風險評估概述風險評估要素 脆弱點是一個或一組資產所具有的，可能被威脅利用對資產造成損害的 薄弱環(huán)節(jié) 。這些損害可能是蓄意的對信息系統(tǒng)和服務所處理信息的直接或間接攻擊。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務、形象等。 風險評估概述信息安全風險評估 信息安全風險評估的基本思路是在信息安全事件發(fā)生之前，通過有效的手段對組織面臨的信息安全風險進行識別、分析，并在此基礎上選取相應的安全措施，將組織面臨的信息安全風險控制在可接受范圍內，以此達到保護信息系統(tǒng)安全的目的。并 為 防范和化解信息安全 風險 ，或者將 風險 控制在可接受的水平，從而最大限度地保障網 絡 和信息安全提供科學依據 （國信 辦 [2022]5號文件 ） 。 財務監(jiān)督? 財務帳的可用性? 內部管理和制度的執(zhí)行? 典型例子 ： 檢查分、子公司上報總部的財務報表的準確性以及執(zhí)行財務管理政策的情況216。內審通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現其目標。 企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風場和 操作風險 等等 ，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控216。風險評估風險評估第七講第七講 信息安全管理之信息安全管理之 風險評估信息安全風險評估概述信息安全風險評估策略信息安全風險評估流程信息安全風險評估方法風險評估案例風險評估概述信息安全風險評估概述風險評估概述A風險因風險因子子B風險因風險因子子隱患：隱患： 內部失控內部失控事故事故外部作用外部作用產生了產生了人們不人們不期望的期望的后果后果超出超出設定設定安全安全界限界限的狀的狀態(tài)、態(tài)、行為行為風險評估概述系統(tǒng)系統(tǒng)減少：人的減少：人的不安全行為不安全行為改變：環(huán)境改變：環(huán)境不安全條件不安全條件減少：物的減少：物的不安全狀態(tài)不安全狀態(tài)消除：管消除：管理缺陷理缺陷預防減少事故預防減少事故降低事故損失降低事故損失安全風險管理目標安全風險管理目標風險評估概述企業(yè)風險管理框架? 一個基礎? 三道防線管理層CEO第三道防線 第二道防線第一道防線業(yè)務部門董事會風險管理內部審計審計委員會 風險管理委員會風險評估概述一個基礎：公司治理結構216。 貫徹一套重視風險管理的企業(yè)文化和價值觀風險評估概述第一道防線：業(yè)務單位防線(風險宇宙 TM )資信制度 知識產權財務流動資產與信貸 資本結構市場 財務報告營運法律生產程序營商環(huán)境市場結構 民風與文化管治策略 董事會活動交易并購變賣聲譽道德社區(qū)責任 風險管理董事會及管理層業(yè)績組織結構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產機器、廠房與土地其他有形資產負債合約法規(guī)市場與銷售生產及流通商品 /服務開發(fā)流程估值與選擇買家評估與甄選盡職調查并購后整合資信管理運營組織與監(jiān)察硬件軟件網絡無形資產知識管理信息現金管理對沖融資股東資本債務商品利率外匯稅務會計合規(guī)風險評估概述216。 風險管理部的責任是領導和協(xié)調公司內各單位在管理風險方面的工作，它的職責包括：? 編制規(guī)章制度? 對各業(yè)務單位的風險進行組合管理? 度量風險和評估風險的界限? 建立風險信息系統(tǒng)和預警系統(tǒng) 、厘定關鍵風險指標? 負責風險信息披露、溝通、協(xié)調員工培訓和學習的工作? 按風險與回報的分析，為各業(yè)務單位分配經濟資本金風險評估概述“內部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經營。 內部審計的定義 ：風險評估概述內部審計的 三大功能216。規(guī)劃風險管理 識別風險實施定性風險分析實施定量風險分析 監(jiān)控風險規(guī)劃風險應對計劃過程 監(jiān)控過程風險評估概述規(guī)劃風險管理流程項目范圍說明書成本管理計劃進度管理計劃溝通管理計劃事業(yè)環(huán)境因素風險態(tài)度風險承受度既定的風險管理方法規(guī)劃會議、分析風險管理計劃依據 工具、技術 結果風險評估概述識別風險流程依據依據 工具、技術 結果結果項目范圍說明書事業(yè)環(huán)境因素組織過程資產風險管理計劃集成管理計劃 框架分析法頭腦風暴法要素分析法情景分析法流程分析法潛在風險風險征兆風險來源風險清單風險風險登記冊登記冊風險評估概述實施定性風險分析流程依據依據 工具、技術工具、技術 結果結果風險登記冊風險數據質量評估概率影