风险评估方法摘要

谈电力企业定量风险评估理论方法理论与应用来源：考试大2009/6/25【考试大：中国教育考试第一门户】模拟考场视频课程字号:TT摘要：电力企业定量风险评估（QRA）是一项涵盖并以安全工程、可靠性工程、风险分析等为基础的综合研究。针对电力工业自身的特点及电力市场化改革的进程，阐述了电力企业QRA的基本思想、流程框架、主要工作内容及基本方法。通过实施QRA，可帮助电力企业全面识别风险，有利于电力企业将风险水平控制在规定水平之内，并针对风险作出正确、合理的决策。 关键词：电力企业；风险管理；定量风险评估 引言 电力作为高风险产业，不仅源于其公用事业属性，以及技术资金密集、供求瞬时平衡、生产运行连续等特征，同时电力项目投资额巨大、建设周期长、沉没成本高，而且，随着电力体制改革和电力市场建设进程的深入，市场主体越来越多，电力交易关系复杂，不同主体之间协调困难，电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务，面对我国电力市场化发展的现状，增强风险意识，树立风险观念，加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上，提出电力企业定量风险评估的主要内容及方法，以期推动电力系统风险管理工作的开展。 1、风险管理的主要内容 风险作为客观存在，要求人们考察研究风险时，要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。 人们一般对风险持厌恶态度，都想减小风险损失，追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科，首先在美国应运而生，之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理，许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术，既需要定性分析，又需要定量估计；既要求理性，又要求人性；不但需要多学科理论指导，还需要多种方法支持。 源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程，风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析，而后果分析又包括情景分析与损失分析。通过风险分析，可得到特定系统所有风险的风险估计，对此再参照相应的风险标准及可接受性，判断系统的风险是否可接受，是否采取安全措施，这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算，要进行定量风险评估（QuantitativeRiskAssessmentQRA）。在风险评估的基础上，针对风险状况采取相应的措施与对策方案，以控制、抑制、降低风险，即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况，而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。 2、风险管理的组织实施与基本流程 为有效实施风险管理，企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据幸福杂志对美国500多家大公司的调查知，84的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理，组织实施的流程是： 制定风险管理规划； 风险辩识； 风险评估； 风险管理策略方案选择； 风险管理策略实施； 风险管理策略实施评价。 3、电力企业定量风险评估（QRA） 电力企业QRA的建立与发展从内部来看，不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础，从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRA对企业的作用主要体现在：通过QRA有利于企业将风险水平控制在规定标准的风险水平之内，并符合最低合理可行原则；通过开展QRA可帮助企业全面识别风险，并按轻重缓急排序，以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域，使风险管理决策更为合理、效果更好、成本最小；通过对各种风险控制方案或安全改进措施进行QRA，使决策者对方案措施进行优劣选择，为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响，并产生放大效应，电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRA具有现实意义。 3.1电力企业QHA的基本框架模式电力企业QRA是指在工业系统QRA的基础上，考虑电力系统的技术经济特点及运行规律，结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。 3.2电力企业QRA的主要工作内容 （1）确定目标及范围。包括风险管理的目的与意义，待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等，即确定QRA实现目标和实施条件等。 （2）风险辨识。即找出待评价系统中所有潜在的风险因素，并进行初步分析，通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究（HZOPS）、故障模式与影响分析（FMEA）、故障模式影响及危急分析（FMECA）、故障树分析（ETA）、事故树分析（ETA）、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理，可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险，可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件，还应考虑人为因素、组织制度等系统软件。 风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点，把电力系统风险按厂网分开的行业结构进行分类。 对于发电企业而言，主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言，主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外，电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。 风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估，确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估，风险水平高的要在定性分析基础上，进行定量评估。 （3）频率分析。即确定风险可能发生的频率，其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立风险数据库，既作为QRA的基础，又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法，把可能发生的事故或系统失效（顶事件）与基本部件的失效联系起来，根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上，采用某种失效理论模型来计算风险发生频率。 （4）风险测定估计。根据风险特性及类型，运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。 （5）后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。 （6）风险标准及可接受性。风险标准及可接受性应遵循最低合理可行（ALARP）原则。ALARP原则是指任何系统都存在风险，而且风险水平越低，即风险程度越小要进一步减少风险越困难，其成本会呈指数曲线上升。也就是说，风险改进措施投资的边际效益递减，最终趋于零，甚至为负值。因此，必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上，则该风险被拒绝，如果风险水平在可接受线之下，则该风险可接受，无需采取风险改进措施；如风险水平在不可接受线与可接受线之间，即落人ALARP区（可容忍区），这时要进行风险改进措施投资成本风险分析或风险成本收益分析。 分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大，则该风险是可接受的，即允许该风险存在，以节省投资成本。ALARP原则的经济学解释类似投入要素的边际收益递减规律一样，风险与风险措施投入间的风险曲线也呈边际收益递减规律。 3.3电力企业QRA常用方法根据电力企业QRA的工作内容和实现要求，结合电力企业本身特点，电力企业QRA常用的方法主要有：安全检查表即实施安全检查的项目明细表；故障模式与影响分析技术和故障模式影响分析与致命度分析（FMEACA）技术；风险与可操作性研究技术；事件树分析技术；基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。 4、结语 电力企业QRA是一项涵盖并以安全工程、可靠性工程、风险分析等为基础的综合研究，在不断总结过去的基础上，通过广泛而深入的调查、精湛而详细的分析、理论联系实际的科学探索而逐渐形成，可以指导现在和预测未来。根据电力企业的行业特点，电力企业QRA不仅已有良好的技术物质基础，而且电力QRA发展必大有用武之地。风险评估的常用方法 在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。基于知识的分析方法在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括： 会议讨论； 对当前的信息安全策略和相关文档进行复查； 制作问卷，进行调查； 对相关人员进行访谈； 进行实地考察。为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种，Cobra 就是典型的一种。基于模型的分析方法2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。目前CORAS 还处于实验阶段，相关信息可以参见：http:/www.bitd.clrc.ac.uk/Activity/CORAS定量分析进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念： 暴露因子（Exposure Factor，EF） 特定威胁对特定资产造成损失的百分比，或者说损失的程度。 单一损失期望（Single Loss Expectancy，SLE） 或者称作SOC（Single OccuranceCosts），即特定威胁可能造成的潜在损失总量。 年度发生率（Annualized Rate of Occurrence，ARO） 即威胁在一年内估计会发生的频率。 年度损失期望（Annualized Loss Expectancy，ALE） 或者称作EAC（EstimatedAnnual Cost），表示特定资产在一年内遭受损失的预期值。考察定量分析的过程，从中就能看到这几个概念之间的关系：（1） 首先，识别资产并为资产赋值；（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0100%之间）；（3） 计算特定威胁发生的频率，即ARO；（4） 计算资产的SLE：SLE = Asset Value EF（5） 计算资产的ALE：ALE = SLE ARO这里举个例子：假定某公司投资500,000 美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是45,000 美元。我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性（可以用ARO 表示），另一个就是威胁事件可能引起的损失（用EF 来表示）。理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。定性分析定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi 方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。风险评估工具 风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括： 调查问卷 风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。 检查列表 检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距。 人员访谈 风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。 漏洞扫描器 漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。 渗透测试 这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括： COBRA COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A 系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA 还支持基于知识的评估方法，可以将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供了COBRA 试用版下载：/cobdown.htm。 CRAMM CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局（Central Computer and Telecommunications Agency，CCTA）于1985 年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新（现在是第四版），目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM 的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致，它提供的可供选择的安全控制多达3000 个。除了风险评估，CRAMM 还可以对符合ITIL（IT Infrastructure Library）指南的业务连续性管理提供支持。 ASSET ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication 800-26，即信息技术系统安全自我评估指南（Security Self-AssessmentGuide for Information Technology Systems），为组织进行IT 系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：。 CORA CORA（Cost-of-Risk Analysis）是由国际安全技术公司（InternationalSecurity Technology, Inc. ）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。风险评估的方法及流程【资料收集】2008年08月13日 星期三 下午 02:09风险评估的方法： 当前最传统也最广泛的风险分析方法主要是基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定量（Quantitative）分析和定性（Qualitative）分析以及定量和定性混合的分析方法。最近几年也出现了一些分析工具，按这些方法分析的结果同相应的风险分析标准和规范进行比较，它们共同的目标都是找出单位信息资产面临的风险及其影响，以及目前安全水平与单位安全需求之间的差距。 1 基于知识的分析方法 基于知识的分析方法又称作经验方法，采用这种分析方法，风险分析团队不需要通过繁琐的流程和步骤，可节省大量精力、人员、时间和资源；只需通过特定途径收集相关信息，识别单位当前的资产、资产所存在的漏洞、组织的风险和当前采取的安全措施等信息，与特定的标准或最佳实践进行比较，从中找出不符合的地方，并按照标准或最佳实践推荐选择安全措施，最终达到降低和控制风险的目的。 基于知识的分析方法，最重要的还在于完整详细的收集和评估信息，主要方法一般是： 问卷调查； 会议讨论； 人员访谈； 对当前的策略和相关文档进行复查。 2 基于模型的分析方法 基于模型的评估可以分析出系统自身内部机制中存在的危险性因素，同时又可以发现系统与外界环境交互中的不正常和有害的行为，从而完成系统脆弱点和安全威胁的定性分析。由于目前没有非常完善的模型，因此这种方法较少使用。 3. 定量分析方法 定量分析就是对风险的程度用直观的数据表示出来。其主要思路是对构成风险的各个要素和潜在损失的程度赋予数值或货币金额，度量风险的所有要素（资产价值、弱点级别、脆弱性级别等）都被赋值，计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其它值时，尽量具有相同的客观性，这样风险分析的整个过程和结果都可以被量化了。 从理论上讲，通过定量分析可以对安全风险进行准确的定义和分级，但是这种方法也有一些固有的难以克服的明显缺点：定量分析所赋予的各种数据的准确性并不可靠，没有正式且严格的方法来有效计算资产和控制措施的价值，很多数据的赋予个人主观性较强；实施繁烦，工期很长。 其次，使用定量分析的方法需要同单位各相关人员交流以了解并掌握其业务流程，这需要耗费大量的成本，大量的人力资源和时间来完成其全部周期，经常会出现员工对如何计算具体数值发生争论的情形，影响项目继续推行进展。从实际使用情况来看，单纯采用定量分析的案例并不多见。 4 定性分析方法 定性分析方法是目前采用最为广泛的一种方法，它与定量风险分析的区别在于不需要对资产及各相关要素分配确定的数值，而是赋予一个相对值。通常通过问卷、面谈及研讨会的形式进行数据收集和风险分析，涉及各业务部门的人员，它带有一定的主观性，往往需要凭借专业咨询人员的经验和直觉，或者业界的标准和惯例，为风险各相关要素（资产价值，威胁，脆弱性等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级等。通过这样的方法，对风险的各分析要素赋值后，我们可以定性的区分这些风险的严重等级，避免了复杂的赋值过程，简单且又易于操作。与定量分析相比较，定性分析的准确性稍好但精确度不细；定性分析消除了繁烦的容易引起争议的赋值，实施流程和工期大为降低，只是对相关咨询人员的经验和能力提出了更高的要求；定性分析过程相对较直观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。 当前最常用的分析方法一般都是定量和定性的混合方法，对一些可以明确赋予数值的要素直接赋予数值，对难于赋值的要素使用定性方法，这样不仅更清晰的分析了单位资产的风险情况，也极大简化了分析的过程，加快了分析进度。 选择风险分析的方法和判断标准，应考虑行业自身特点，区别它们各自的关注点，灵活制定风险分析过程和分析方法。例如：对于金融行业来说，丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重；而对于通讯行业来说，业务停顿风险带来的损失比少量数据丢失的风险更难以接受。风险评估的流程：一般来说，电信IP网络风险评估实施过程主要包括以下几个阶段： 1. 确定评估范围：调查并了解IP网络节点的网络拓扑、评估对象、系统业务流程和运行环境，确定评估范围的边界以及范围内所有的评估对象； 2. 资产识别和估价：对评估范围内的所有电信资产进行调查和识别，并根据该资产在网络中的位置作用、所承载业务系统的重要性、所存储数据的重要程度等因素，对各资产的相对价值进行评估和赋值； 3. 安全漏洞评估：主要通过工具扫描、手工检查、渗透测试、拓扑分析等手段对网络层、系统层以及应用层面的各种安全漏洞进行识别和评估； 4. 安全威胁评估：通过问卷调查、IDS取样、日志分析等方式识别出资产所面临的各种威胁，并评估它们发生的可能性； 5. 安全管理调查：通过调研、问卷调查和人员访谈等方式对节点安全管理措施的完备性和有效性进行评估； 6. 物理安全检查：通过前往机房现场进行检查、人员访谈、问卷调查等方式对物理环境安全进行检查和评估； 7. 风险评估结果分析：根据上述各阶段实施所得到的评估结果，对评估节点的安全现状进行综合的风险评估，撰写风险评估报告，呈现风险现状。风险评估的基本过程-计划和准备 风险评估是组织确定信息安全需求的过程，包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。图3.1 所示就是风险评估完整的过程模型。计划和准备组织在正式进行风险评估之前，应该制定一个有效的风险评估计划，明确风险评估的目标，限定评估的范围，建立相关的组织结构并委派责任，并采取有效措施来采集风险评估所需的信息和数据。具体来说，风险评估计划应该包括以下内容： 目标 开展风险评估活动的目的，期望得到的输出结果，关键的约束条件（时间、成本、技术、策略、资源等）。 范围和边界 既定的风险评估可能只针对组织全部资产（包括其弱点、威胁事件和威胁源等）的一个子集，评估范围必须首先明确。例如，研究范围也许只是确定某项特定资产的风险，或者与一种新型攻击或威胁源相关的风险。此外，必须定义风险评估的物理边界和逻辑边界。逻辑分析边界定义了分析所需的广度和深度，而物理系统边界则定义了一个系统起于哪里止于何处，比如一个与外部系统相连的系统，必须对其所有的接口特性进行描述。 系统描述 进行风险评估的一个先决条件就是对受评估系统的需求、操作概念和系统资产特性有一个清晰的认识，必须识别评估边界内所有的系统。 角色和责任 组织应该成立一个专门的风险评估小组，小组应该包括具有安全评估经验和熟悉组织运作情况的成员，还应该包括管理层、业务部门、人力资源、IT 系统和来自用户的代表，如果需要，还应该聘请外部的风险评估专家来参与项目。此外，组织的信息安全官、IT 系统安全管理员也都应该承担各自的责任。最重要的一点，组织的高级管理层一定要参与并支持风险评估项目。 风险评估行动计划 确定风险评估的途径和方法，计划评估步骤。 风险接受标准 事先明确组织能够接受的风险的水平或者等级。 风险评估适用表格 为风险评估过程拟订标准化的表格、模板、问卷等材料。制定风险评估计划之后，组织首先要为正式实施风险评估做准备。准备阶段的主要工作就是通过多种途径去采集信息，包括： 专家经验（来自内部或外部专家、专业组织的统计公布信息） 集体讨论或小组讨论 系统分析（包括技术性分析和业务分析） 人员访谈 调查问卷 文件审核（包括政策法规、安全策略、设计文档、操作指南、审计记录等） 以前的审计和评估结果 对外部案例和场景的分析 现场勘查通过以上途径采集的信息，可以供风险评估各个阶段的活动分析使用，包括资产识别与评价、威胁评估、弱点评估等。健康风险评估百科名片健康风险评估（health risk appraisal, HRA)是一种方法或工具，用于描述和评估某一个体未来发生某种特定疾病或因为某种特定疾病导致死亡的可能性。这种分析过程目的在于估计特定时间发生的可能性，而不在于做出明确的诊断。健康风险评估师对个人的健康状况及未来患病和/或死亡危险型的量化评估。包括健康状态、未来患病/或死亡危险、量化评估3个关键词。目录健康风险评估的历史 健康风险评估在国内的发展情况 健康风险评估的原理与技术 1. （一）问卷 2. （二）风险的计算 3. （三）评估报告健康风险评估的种类与方法 1. （一） 一般健康风险评估 2. （二） 疾病风险评估 3. （三） 疾病风险评估与健康管理策略健康风险评估的历史 健康风险评估在国内的发展情况 健康风险评估的原理与技术 1. （一）问卷 2. （二）风险的计算 3. （三）评估报告健康风险评估的种类与方法 1. （一） 一般健康风险评估 2. （二） 疾病风险评估 3. （三） 疾病风险评估与健康管理策略展开编辑本段健康风险评估的历史追溯健康风险评估的历史， 主要有以下几个重要阶段： 1. 1940年，Lewis C.Robbins医生首次提出健康风险评估的概念。 他从当时进行的大量子宫颈癌和心脏疾病的预防工作中总结了这样一个观点：医生应该记录病人的健康风险，用于指导疾病预防工作的有效开展。他创造的健康风险标（health hazard chart)，赋予了医疗检查结果更多的疾病预测性含义。 2. 1950年，Robbins担任公共卫生部门在研究癌症控制方面的领导者，他主持制定了10年期死亡率风险表格（Tebles of 10-year Mortality Risk),并且在许多小型的示范教学项目中，以健康风险评估作为医学课程的教材及运用的模式。 3. 20世纪60年代后期，随着人寿保险精算方法在对病人个体死亡风险概率的量化估计中的大量应用， 所有产生量化健康风险评估的必要条件准备就绪。 4.1970年， Robbins医生和Jack Hall医生针对实习医生共同编写了如何运用前瞻性医学（How to Prospective Medicine)一书，阐述了目前健康危险因素与未来健康结局之间的量化关系，并提供了完整的健康风险评估工具包，包括问卷表、健康风险计算以及反馈沟通的方法等。至此，健康风险评估进入大规模应用和快速发展时期。 编辑本段健康风险评估在国内的发展情况自从2000年开始，国内陆续从国外引进了健康风险评估系统。因为中美两国在人种、流行病学、经济、社会环境等各方面存在着差异，所以引进这种系统之后，本地化非常重要。目前在国内比较成熟的健康管理系统有两个，一个是医博士(DrMed)健康自我管理系统，另外一个是新生代健康风险评估系统。两个都不错，前者整合了国外多个健康管理系统；后者主要是美国密西根大学健康管理系统的引进版。由于国内的健康风险评估刚刚起步，属于新的领域，国人还不太了解它的好处，所以目前最主要的问题是如何在国内推广健康风险评估，使之真正成为改善健康的工具。 , 编辑本段健康风险评估的原理与技术健康风险评估包括3个基本模块：问卷、危险度计算、评估报告。今天，绝大多数健康风险评估都已计算机化。 （一）问卷问卷是健康风险评估进行信息收集的一个重要手段， 根据评估的重点与目的的不同，所需的信息会有所差别。 一般来讲，问卷的主要组成包括：1）生理、生化数据，如身高、体重、血压、血脂等；2）生活方式数据，如吸烟、膳食与运动习惯等；3）个人或家族健康史；4）其他危险因素，如精神压力；5）态度和知识方面的信息。 （二）风险的计算健康风险评价是估计具有一定健康特征的个人会不会在一定时间内发生某种疾病或健康的结果。 常用的健康风险评价一般以死亡危结果，由于技术的发展及健康管理需求的改变，健康风险评估已逐步扩展到一疾病为基础的危险性评价；因为后者能更有效地使个人理解危险因素的作用。并能更有效的实施控制措施和减少费用。 在疾病危险性评价及预防方面一般有两种方法。第一种是建立在单一危险因素与发病率的基础上，将这些单一因素与发病率的关系以相对危险性来表示其强度，得到的各相关因素的加权分数即为患病的危险性。由于这种方案简单实用，不需要大量的数据分析， 是健康管理发展早期的主要危险性评价方法。 比较典型的有美国卡特中心（Carter Center)及美国糖尿病协会的评价方法。 第二种方法是建立在多因素树立分析基础上，即采用统计学概率理论的方法来得出患病危险性与危险因素之间的关系模型。为了能包括更多的危险因素，并提高评价的准确性,这种以数据为基础的模型在近几年的打了很大的发展。所采取数理手段， 除常见的多元回归外，还有基于模糊数学的神经网络方法及基于Mote Carlo的模型等。这种方法的典型代表是Framingham的冠心病模型，它是在前瞻性研究的基础上建立的，因而被广泛的使用。 （三）评估报告健康风险评估报告的种类和各种报告的组合千差万别，较好的情况是评估报告包括一个分受评估者个人的报告和一份总结了所有受评估者情况的人群报告。同时，与健康风险评估的目的相对应， 个人报告一般包括健康风险评估的结果和健康教育信息。 人群报告则一般包括对受评估群体的人口学特征概述、健康危险因素总结、建议的干预措施和方法等。 评估报多的形式多种多样，可以预见的是，随着互联网的不断普及，由于具有受众广、更新快、可及性强等特点， 通过网络发布教育信息会成为一种重要的教育形式。 编辑本段健康风险评估的种类与方法从不同的角度出发， 健康风险评估可进行多种分类。如，按应用的领域区分，健康风险评估可分为：1）临床评估， 包括体检、门诊、入院、治疗评估等；2）健康过程及结果评估，包括健康状态评估、患病危险性评估、疾病并发症评估及预后评估等；3）生活方式及健康行为评估，包括膳食、运动等的习惯评估；4）公共卫生监测与人群健康评估，从人群的角度进行环境、食品安全、职业卫生等方面的健康评估。 从评估功能的角度，常见的健康风险评估种类及方法如下： （一） 一般健康风险评估即前面所述，通过问卷、危险度计算和评估报告3个基本模块进行的健康风险评估（health risk appraisal, HRA）。 （二） 疾病风险评估疾病风险评估的目的区别于一般的健康风险评估，疾病风险评估指的是对特定疾病患病风险的评估(disease specific health assessment)。 其主要目的有： 1. 晒查出患有制定疾病的个体，引入需求管理或疾病管理。 2. 测量医生和患者良好临床实践的依从性和有效性。 3. 测量特定干预措施所达到的健康结果。 4. 测量医生和患者的满意度， 一般健康风险评估的特点对于疾病风险评估一样适用。另外，疾病风险评估还有具有以下特点： 1. 注重评估客观临床（如生化试验）指标对未来特定疾病发生危险性。 2. 流行病研究成果是其评估的主要依据和科学基础。 3. 评估模型运用严谨的统计学方法和手段。 4. 适用于医院或体检中心、健康/人寿保险中的核保与精算。 （三） 疾病风险评估与健康管理策略疾病风险评估作为健康风险评估的一个主要类型， 与健康管理措施有着密切的联系。某种程度上说，疾病风险评估起着监看管理分流器的作用， 通过疾病风险评估可以人群进行分类，对处于不同类型和等级的个人或人权实施不同的健康管理策略，实现有效的全人群健康管理。 疾病风险评估的方法： 如同前面特点中所述，疾病风险评估的方法直接源于流行病学的研究成果。其中，前瞻性队列研究和对以往流行病研究成果的综合分析及循证医学是最主要的方法。前者包括生存分析法、寿命表分析法等，后者包括Meta分析、合成分析法（synthesis analysis）等。 疾病风险评估的步骤： 从大的方面来说，疾病风险评估主要有以下4个步骤： 第一，选择要预测的疾病； 第二，不断发现并确定与该疾病发生有关的危险因素； 第三，应用适当的预测方法建立疾病风险预测模型； 第四，验证评估模型的正确性和准确性。 词条图册更多图册开放分类： 医疗健康 健康管理 健康风险评估 风险评估是风险管理的基础，是制定审计计划、审计方案的重要依据。只有找到什么地方会出现问题，才有可能对问题进行防范与控制。JR;g,z.Ftq0一、风险评估概念0 vw/PV7hm6p%J0风险评估是对评估对象所面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。U)j*p1K2!00二、风险评估方法及步骤g#r9n4j+IRV01、定性分析法，定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。yQ2v1c8Z+tR+I80 定性分析的操作方法包括小组讨论（例如Delphi 方法）、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。世界经理人管家#a0e(|*pS,BSC2、评分法，针对各个特性（如各部门、系统、项目等）分配一风险程度及权数，两数积为该风险分数，再将领域内各特性分数加总，即得该领域风险总分，依照分数可将不同领域依风险高低排出顺序。 syOR3W03、打分法，即将各因素的具体情况与标准水平做一比较，然后根据其差异情况用绝对分值来表述要素的风险程度。世界经理人管家eP%+BX4NPX4、定量分析法，定量分析就是通过计算的数字金额对安全风险进行分析评估的一种方法。定量分析方法的步骤：世界经理人管家#Nk(dU4Ap 列出构成风险的所有要素（风险因子）；世界经理人管家7m4Bo*AiS7A1h 对所有风险要素确定其损失的水平或比例；Q3w T2A)/r0 计算累计各风险要素的数值或货币金额。-w8W*i1Lw Kzp0 对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性，另一个就是威胁事件可能引起的损失。)i;yKm j0举个例子：假定某公司投资100,000 元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了事件发生的可能性为20% 的结果。基于以上数据，该公司网络运营中心的预期损失为9,000 美元（100,000*45%*20%）。世界经理人管家)M)C0|a$Ai 理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供世界经理人管家e,k?*P;h3nPQ参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的4w*S*H v FZM0数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分E#tU9js0析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析/K0ak/mEqD0方法的已经比较少了。s86q Fx:n!D0 5、问题清单-索耶:Rl O*?M|(A f/G1b0 风险清单由Allstate的内部审计机构开发，它能提供提供一个框架，用来识别成为公司最大威胁的风险，使这些风险在计划中得以考虑。世界经理人管家$t lqUm 风险清单的制定必须经过四个步骤：1、识别可以接受的最高风险；2、合并和