风险评估是风险管理的基础,是制定审计计划、审计方案的重要依据。只有找到什么地方会出现问题,才有可能对问题进行防范与控制。 一、风险评估概念
风险评估是对评估对象所面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
二、风险评估方法及步骤
1、定性分析法,定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。
定性分析的操作方法包括小组讨论(例如Delphi 方法)、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。
2、评分法,针对各个特性(如各部门、系统、项目等)分配一风险程度及权数,两数积为该风险分数,再将领域内各特性分数加总,即得该领域风险总分,依照分数可将不同领域依风险高低排出顺序。
3、打分法,即将各因素的具体情况与标准水平做一比较,然后根据其差异情况用绝对分值来表述要素的风险程度。
4、定量分析法,定量分析就是通过计算的数字金额对安全风险进行分析评估的一种方法。定量分析方法的步骤:
①列出构成风险的所有要素(风险因子);
②对所有风险要素确定其损失的水平或比例;
③计算累计各风险要素的数值或货币金额。
对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性,另一个就是威胁事件可能引起的损失。
举个例子:假定某公司投资100,000 元建了一个网络运营中心,其最大的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是45%。根据消防部门推断,该网络运营中心所在的地区每5 年会发生一次火灾,于是我们得出了事件发生的可能性为20% 的结果。基于以上数据,该公司网络运营中心的预期损失为9,000 美元(100,000*45%*20%)。
理论上讲,通过定量分析可以对安全风险进行准确的分级,但这有个前提,那就是可供
参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量分析所依据的
数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分
析的细化带来了很大困难,所以,目前的信息安全风险分析,采用定量分析或者纯定量分析
方法的已经比较少了。
5、问题清单--索耶
风险清单由Allstate的内部审计机构开发,它能提供提供一个框架,用来识别成为公司最大威胁的风险,使这些风险在计划中得以考虑。
风险清单的制定必须经过四个步骤:1、识别可以接受的最高风险;2、合并和组织风险; 3、制定一个标准的风险清单和风险术语表;4、精简风险清单。
风险清单由两个基本部分组成。外部风险包括:环境、灾难、金融市场、风险评级;内部风险包括:人力资源、正直、信息和技术、会计和报告、财务。
组织一直在对风险评估的不同方法进行评价。下列问题(风险因素)已经被运用于风险评估中:
1、在先前的审计中有重大发现吗?
2、上次审计的范围是什么?
3、上次审计是在多长时间进行的?
4、系统中已经发生了什么变化?
5、人事安排已经发生了什么变化?
6、该实体提供的产品和服务是否发生了什么变化?
7、控制的资产的实际价值是多少?
8、实体的交易金额是多少?
9、该实体对母公司的重要性是什么?
10、该实体资产的流动性如何?
11、该实体的职责分离如何?
12、该实体中的信息的敏感性如何?
13、实现目标或其他业务标准的压力如何?
14、法律法规是如何影响组织的?
15、员工遭受非道德行为的潜在程度如何?
16、发挥该实体作用要求什么样的知识?
17、员工与该实体的顾客联系的频度?
18、该实体经营的复杂性如何?
