略了吧122021-10-01 13:10:48

風險評估 是指，在風險事件發生之前或之後（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

風險評估的主要任務包括：

1、識別評估物件面臨的各種風險

2、評估風險機率和可能帶來的負面影響

3、確定組織承受風險的能力

4、確定風險消減和控制的優先等級

5、推薦風險消減對策

風險評估途徑包括：

1、基線評估。採用基線風險評估，組織根據自己的實際情況，對資訊系統進行安全基線檢查，得出基本的安全需求，透過選擇並實施標準的安全措施來消減和控制風險。

2、詳細評估。詳細風險評估要求對資產進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。

3、組合評估。組織多是採用二者結合的組合評估方式。為了決定選擇哪種風險評估途徑，組織首先對所有的系統進行一次初步的高階風險評估，著眼於資訊系統的商務價值和可能面臨的風險，識別出組織內具有高風險的或者對其商務運作極為關鍵的資訊資產（或系統），這些資產或系統應該劃入詳細風險評估的範圍，而其他系統則可以透過基線風險評估直接選擇安全措施。