Entry № 1047
风险评估
风险评估 是什么?
风险评估风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
风险评估在某一明确范围(如系统、业务流程、供应商或新项目)内整合风险识别、分析和评价。评估人员收集威胁情报、梳理脆弱性,估计发生可能性和业务影响,并依据组织准则输出按优先级排序的风险清单。方法涵盖从定性热力图到 FAIR、蒙特卡洛等定量技术,结果会进入风险登记册并驱动处置计划。NIST SP 800-30、ISO/IEC 27005、GDPR 的 DPIA 以及 HIPAA 安全规则等均将风险评估列为合规要求。
● 示例
- 01
对新上线的 SaaS 薪酬平台进行 NIST SP 800-30 风格的评估。
- 02
为支撑 ISO 27001 认证审计而进行的年度 ISO 27005 评估。
● 常见问题
风险评估 是什么?
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。 它属于网络安全的 合规与框架 分类。
风险评估 是什么意思?
风险管理中的结构化活动,针对特定资产识别威胁、脆弱性与影响,并对由此产生的风险进行评级,以支持处置决策。
如何防御 风险评估?
针对 风险评估 的防御通常结合技术控制与运营实践,详见上方完整定义。
风险评估 还有哪些其他名称?
常见的别称包括: 网络风险评估, IT 风险评估。