风险评估
风险评估 是什么?
风险评估风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
风险评估在某一明确范围(如系统、业务流程、供应商或新项目)内整合风险识别、分析和评价。评估人员收集威胁情报、梳理脆弱性,估计发生可能性和业务影响,并依据组织准则输出按优先级排序的风险清单。方法涵盖从定性热力图到 FAIR、蒙特卡洛等定量技术,结果会进入风险登记册并驱动处置计划。NIST SP 800-30、ISO/IEC 27005、GDPR 的 DPIA 以及 HIPAA 安全规则等均将风险评估列为合规要求。
● 示例
- 01
对新上线的 SaaS 薪酬平台进行 NIST SP 800-30 风格的评估。
- 02
为支撑 ISO 27001 认证审计而进行的年度 ISO 27005 评估。
● 常见问题
风险评估 是什么?
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。 它属于网络安全的 合规与框架 分类。
风险评估 是什么意思?
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
风险评估 是如何工作的?
风险评估在某一明确范围(如系统、业务流程、供应商或新项目)内整合风险识别、分析和评价。评估人员收集威胁情报、梳理脆弱性,估计发生可能性和业务影响,并依据组织准则输出按优先级排序的风险清单。方法涵盖从定性热力图到 FAIR、蒙特卡洛等定量技术,结果会进入风险登记册并驱动处置计划。NIST SP 800-30、ISO/IEC 27005、GDPR 的 DPIA 以及 HIPAA 安全规则等均将风险评估列为合规要求。
如何防御 风险评估?
针对 风险评估 的防御通常结合技术控制与运营实践,详见上方完整定义。
风险评估 还有哪些其他名称?
常见的别称包括: 网络风险评估, IT 风险评估。
● 相关术语
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- compliance№ 888
定性风险分析
采用低/中/高或 1-5 等描述性等级来评估发生可能性与影响,而不使用货币或概率数值的风险分析方法。
- compliance№ 889
定量风险分析
用数字表达发生可能性与影响的风险分析方法,通常以概率和货币损失分布来支撑数据驱动的决策。
- compliance№ 282
数据保护影响评估(DPIA)
在开展高风险个人数据处理前,按 GDPR 第 35 条要求进行的结构化评估,用于识别并缓解对个人权利与自由的风险。
- appsec№ 1150
威胁建模
一种结构化分析方法,识别系统的资产、威胁、漏洞与缓解措施,从而在设计阶段构建安全,而不是事后弥补。
● 参见
- № 939风险处置
- № 534固有风险
- № 402FAIR(信息风险因子分析)
- № 705蒙特卡洛风险模拟