风险评估的基本要素
风险评估的三个要素
风险评估的三个要素
风险评估是指对一项活动、项目或决策所面临的风险进行全面、客观、系统性评估的过程。
风险评估的核心是对风险的判断和评价,是决策者进行准确决策的基础。
在进行风险评估时,有三个重要的要素需要考虑。
1. 风险概率
风险概率是指某一风险事件发生的可能性。
确定风险事件发生的概率对于评估和管理风险至关重要。
在评估风险概率时,可以根据历史数据、统计分析和专家判断等方法进行研究和分析。
根据风险概率的不同,可以将风险划分为高概率风险、中概率风险和低概率风险,从而确定相应的风险预防和应对措施。
2. 风险影响
风险影响是指一旦风险事件发生所带来的直接或间接的损失或影响。
风险影响的评估可以从经济、环境、人员安全等多个方面进行考量。
在评估风险影响时,可以从资产价值、生产效率、声誉损失等角度进行量化或定性评估。
风险影响的大小直接决定了风险的重要程度和对决策的影响力,因此在风险评估过程中需要充分考虑风险影响的大小。
3. 风险管理措施
风险管理措施是指为降低或消除风险而采取的防范或应对措施。
在进行风险评估时,需要根据风险的性质和级别确定相应的风险管理措施。
常见的风险管理措施包括风险转移、风险缓解、风险控制、风险接受等。
选择适当的风险管理措施对于降低风险带来的不利影响和损失至关重要。
综上所述,风险评估的三个要素包括风险概率、风险影响和风险管理措施。
只有全面考虑这三个要素,才能准确评估和管理风险,提高决策的科学性和准确性。
风险评价的要素
风险评价的要素风险评价是指对特定风险进行全面评估和分析的过程,以确定其潜在的危害程度和可能发生的可能性。
在进行风险评价时,需要考虑以下要素:1. 风险识别:首先需要识别出可能存在的风险。
这包括对潜在危险的辨识和对可能导致风险的因素的识别。
通过对企业、项目或活动的全面分析,可以识别出与之相关的各种风险。
2. 风险分析:对已识别的风险进行详细分析,包括风险的特征、成因、可能的影响以及发生的概率等方面。
通过综合考虑这些因素,可以对风险进行量化和评估,从而确定其重要性和优先级。
3. 风险评估:在风险分析的基础上,对各种风险进行评估,确定其可能对企业或项目造成的潜在损失和影响。
评估的结果通常以定量或定性的方式呈现,以便更好地理解风险的严重程度。
4. 风险控制:根据风险评估的结果,制定相应的风险控制策略和措施。
这包括确定适当的防范措施、采取控制措施和建立监测机制等,以减少风险的发生概率和降低其可能带来的影响。
5. 风险应对:在风险控制的基础上,制定应对风险的计划和措施。
这包括应对风险事件发生后的紧急处理和恢复工作,以及建立应急预案和灾难恢复计划等。
6. 风险沟通:及时向相关利益相关方和决策者等传达风险评估的结果和意见。
风险沟通可以帮助相关方更好地理解风险的性质和严重程度,并共同制定应对措施和决策。
7. 风险监测:对已识别的风险进行监测和跟踪,及时更新风险评估的结果。
风险监测可以帮助及时发现风险的变化和新的风险,以便及时采取相应的措施。
8. 风险复评:根据实际情况,定期对已评估的风险进行复评。
风险复评可以帮助更新风险评估的结果,以适应环境和情况的变化,并及时调整相应的风险控制和应对策略。
9. 风险记录:记录风险评价的整个过程,包括识别、分析、评估、控制和应对等环节的信息。
风险记录可以作为参考和依据,帮助更好地管理和应对风险。
风险评价的要素包括风险识别、风险分析、风险评估、风险控制、风险应对、风险沟通、风险监测、风险复评和风险记录等。
风险评估标准
风险评估标准一、引言风险评估是一种系统性的方法,用于评估和识别可能对项目、组织或者活动产生不利影响的风险。
风险评估标准是为了确保评估的一致性和可靠性而制定的一套规范和指导原则。
本文将详细介绍风险评估标准的要素和流程,并提供一个示例以匡助读者更好地理解。
二、风险评估标准的要素1. 风险定义和分类在进行风险评估之前,需要明确定义风险的概念,并对风险进行合理的分类。
例如,可以将风险分为战略风险、操作风险、市场风险等。
这样可以更好地理解和管理不同类型的风险。
2. 风险评估方法和工具风险评估需要使用一些方法和工具来采集和分析相关数据。
常用的方法包括概率分析、影响分析、故障模式和影响分析等。
选择适当的方法和工具对于评估的准确性和可靠性至关重要。
3. 风险评估指标为了对风险进行评估,需要制定一些指标来衡量风险的程度和影响。
常用的指标包括风险概率、风险影响程度、风险优先级等。
这些指标可以匡助评估人员更好地理解和比较不同风险的重要性。
4. 风险评估流程风险评估需要按照一定的流程进行,以确保评估的全面性和一致性。
普通包括以下几个步骤:确定评估的范围和目标、采集相关数据、分析和评估风险、确定风险优先级、制定风险应对策略等。
每一个步骤都需要有明确的指导原则和操作规程。
三、风险评估标准的流程以下是一个示例的风险评估标准流程,以匡助读者更好地理解和应用风险评估标准。
1. 确定评估的范围和目标在开始风险评估之前,需要明确评估的范围和目标。
例如,评估某个项目的风险,目标可能是确定项目的关键风险和制定相应的风险管理计划。
2. 采集相关数据采集相关数据是风险评估的关键步骤之一。
可以通过文献研究、专家访谈、数据分析等方式采集必要的信息。
例如,可以采集项目的历史数据、行业统计数据、专家意见等。
3. 分析和评估风险在采集到足够的数据后,需要对风险进行分析和评估。
可以使用概率分析、影响分析等方法来评估风险的发生概率和影响程度。
评估的结果可以用数值或者等级来表示。
风险评估标准
风险评估标准一、引言风险评估是指对特定活动、项目或者决策可能面临的风险进行系统性评估和分析的过程。
风险评估标准是用来衡量和评价风险的指标和方法。
本文旨在介绍风险评估标准的基本要素和常见方法,以及如何根据不同情境制定适合的风险评估标准。
二、风险评估标准的基本要素1. 风险定义和分类风险定义是指对风险的概念和内涵进行明确和界定。
常见的风险定义包括“不确定性的事件”、“可能发生的损失”等。
风险分类是指将风险按照不同的特征和属性进行划分和分类,常见的风险分类包括战略风险、操作风险、市场风险等。
2. 风险评估指标风险评估指标是用来衡量和评价风险大小和程度的指标。
常见的风险评估指标包括风险概率、风险影响、风险严重性等。
风险概率是指风险事件发生的可能性,可以用百分比或者概率值表示。
风险影响是指风险事件发生时可能带来的损失或者影响,可以用金钱、时间、资源等指标进行衡量。
风险严重性是综合考虑风险概率和风险影响的指标,用来评估风险的严重程度。
3. 风险评估方法风险评估方法是指用来进行风险评估的具体方法和技术。
常见的风险评估方法包括定性评估和定量评估。
定性评估是基于专家判断和经验进行的主观评估,通常用文字描述和评估矩阵来表示风险级别。
定量评估是基于数据和统计分析进行的客观评估,通常使用概率统计模型和风险摹拟方法来计算风险值和风险分布。
三、风险评估标准的制定方法1. 确定评估目标和范围在制定风险评估标准之前,需要明确评估的目标和范围。
评估目标是指评估的目的和要达到的效果,例如确定风险优先级、制定风险管理策略等。
评估范围是指评估的对象和涉及的方面,例如项目风险、组织风险、市场风险等。
2. 采集和整理相关数据在制定风险评估标准之前,需要采集和整理相关的数据和信息。
这些数据可以包括历史数据、专家意见、市场研究报告等。
通过对这些数据进行分析和整理,可以更好地了解风险的特征和趋势。
3. 制定评估指标和权重根据评估目标和范围,可以制定适合的评估指标和权重。
2 安全风险评估要素
2 安全风险评估要素
安全风险评估的要素包括以下几个方面:
1. 评估范围:确定需要进行风险评估的系统、网络或业务的范围,包括相关的设备、软件、流程等。
2. 威胁辨识:对系统中可能存在的威胁进行辨识和分类,包括内部和外部的威胁。
内部威胁可以是员工的错误操作或恶意行为,外部威胁可以是黑客攻击、病毒感染等。
3. 资产评估:确定系统中的关键资产,包括数据、信息、设备等,并对其价值进行评估。
4. 脆弱性分析:对系统中可能存在的脆弱性进行识别和分析,包括硬件和软件的漏洞、配置错误等。
5. 潜在风险评估:根据威胁和脆弱性分析的结果,评估潜在的安全风险,并对其进行分类和定级。
6. 风险决策:根据风险评估的结果,进行风险决策,包括接受、转移、减轻或避免风险。
7. 控制措施:确定适当的安全控制措施,包括技术措施、组织措施和管理措施,以减轻或消除风险。
8. 风险监测和评估:建立监测机制和反馈机制,对已实施的安全控制措施进行监测和评估,及时发现和应对新的风险。
9. 管理和沟通:建立有效的安全管理体系,并进行必要的沟通和培训,使所有相关人员能够理解和遵守安全政策和规定。
以上是安全风险评估的一些基本要素,具体的评估内容和方法还需要根据实际情况进行调整和补充。
危险化学品重大危险源辨识与风险评估的关系
危险化学品重大危险源辨识与风险评估的关系在工业生产和日常生活中,我们经常接触到各种危险化学品。
这些危险化学品在一定条件下可能会引发事故,对人们的生命财产安全造成严重威胁。
因此,对危险化学品的重大危险源进行辨识,并进行风险评估,是保障社会安全的重要环节。
本文将探讨危险化学品重大危险源辨识与风险评估之间的关系。
一、危险化学品重大危险源辨识危险化学品重大危险源辨识,是指对危险化学品储存、运输、使用等环节中可能导致事故的因素进行识别和分析。
通过对危险因素的辨识,可以找出潜在的风险源,并采取相应的控制措施,降低事故发生的概率。
在进行危险源辨识时,需要综合考虑以下几个方面:1. 了解危险化学品的性质和特点,包括其物理化学性质、毒性等级、燃烧性及爆炸性等。
2. 分析危险化学品的储存、使用、处理等环节,确定可能存在的危险源。
3. 考虑外部因素的影响,如自然灾害、人为因素等。
4. 借鉴已有的事故案例和经验,总结出可能的危险源情景。
二、风险评估的基本要素风险评估是对危险源进行定量或定性分析,评估其可能导致的事故发生频率以及对安全和环境造成的潜在影响。
通过风险评估,可以确定风险的等级,为采取相应的风险控制措施提供科学依据。
风险评估通常包括以下几个基本要素:1. 风险识别:对可能造成事故的危险源进行识别和分析。
2. 风险分析:对危险源的性质、条件和可能引发的事故进行分析。
3. 风险等级划分:根据风险的严重性、概率等指标进行等级划分,确定风险的优先级。
4. 风险评估报告:将风险评估结果以书面形式进行呈现,包括风险识别和分析的方法、数据和结论等。
三、危险源辨识与风险评估的关系危险源辨识是风险评估的前提和基础,二者密切相关。
危险源辨识主要关注危险源的特征,确定可能的危险因素,为风险评估提供依据。
而风险评估则通过定量或定性的方式对危险源进行分析和评估,明确危险源存在的风险程度,为制定有效的风险控制措施提供依据。
危险源辨识和风险评估的过程一般是相互补充和交替的。
安全风险评估的要素
安全风险评估的要素
安全风险评估可包括以下要素:
1. 资产:评估组织的关键资产,包括信息、设备、设施和人员等。
2. 威胁:确定可能对组织资产造成损害的威胁,如自然灾害、技术故障、网络攻击等。
3. 弱点:识别资产和组织的潜在漏洞和弱点,包括技术和非技术方面的弱点。
4. 环境:评估组织所处的物理和技术环境,包括网络结构、安全措施和管理制度等。
5. 影响:分析威胁和弱点对组织的可能影响,包括财务损失、声誉损害和业务中断等。
6. 概率:评估威胁事件发生的可能性,包括频率、持续时间和潜在造成的损失大小。
7. 风险等级:根据资产、威胁、弱点、环境、影响和概率等因素综合评估风险的级别,以确定风险的严重性和优先级。
8. 控制措施:针对识别到的风险,评估现有的安全控制措施的有效性和适用性,并提出改进建议。
9. 风险管理策略:根据风险评估的结果制定相应的风险管理策略,包括风险避免、降低、转移和接受等。
10. 审查和监控:定期审查和监控组织的安全风险状况,以确保控制措施的有效性和适用性,并识别新的风险。
安全风险评估要素分析
安全风险评估要素分析
安全风险评估的要素包括以下几个方面:
1. 资产识别:评估过程中首先需要确定评估对象,即要评估的资产,包括数据、系统、设备、网络等。
2. 威胁识别:对可能对资产造成威胁的因素进行识别,包括内部威胁和外部威胁,如恶意软件、网络攻击、自然灾害等。
3. 漏洞分析:识别资产中存在的漏洞和弱点,包括系统配置错误、软件漏洞、密码弱口令等。
4. 潜在风险评估:评估已经识别的威胁和漏洞对资产造成的潜在风险程度,包括可能导致的数据泄露、系统瘫痪、财务损失等。
5. 影响程度评估:评估潜在风险发生后对组织的影响程度,包括经济、法律、声誉等。
6. 风险等级评估:综合考虑潜在风险和影响程度,对不同资产的风险进行分级评估,确定优先处理的风险。
7. 风险控制策略:基于评估结果,制定适当的控制策略,包括技术措施、管理措施和培训措施等,以降低风险发生概率和降低风险影响。
8. 风险监测和评估:对已实施的控制策略进行监测和评估,及
时发现和处理潜在的新风险。
9. 风险管理计划:根据评估结果,制定详细的风险管理计划,包括资源分配、控制策略执行等。
10. 定期复评:定期进行风险评估的复评,以确保风险管理计划的有效性,并根据需要进行调整。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内容为风险评估的基本要素,与这些要素相关的属性,也是风险评估要素的一部分。
风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。
这些要素之间存在着以下关系:业务战略依赖于资产去完成;资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险——一部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
风险因素识别阶段的工作流程和内容如下:1)识别需要保护的资产。
依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,识别对机构使命具有关键和重要作用的需要保护的资产,形成《需要保护的资产清单》。
2)识别面临的威胁。
依据对象确立输出的三个报告,参照威胁库,识别机构的信息资产面临的威胁,形成《面临的威胁列表》。
威胁库是有关威胁的外部共享数据和内部历史数据的汇集。
3)识别存在的脆弱性。
依据对象确立输出的三个报告,参照漏洞库,识别机构的信息资产存在的脆弱性,形成《存在的脆弱性列表》。
漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。
风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式,可以根据实际情况灵活采用和结合使用。
风险程度分析阶段的工作流程和内容如下:1)确认已有的安全措施。
依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策,形成《已有安全措施分析报告》。
2)分析威胁源的动机。
依据对象确立输出的三个报告和《面临的威胁列表》,从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱,形成《威胁源分析报告》。
3)分析威胁行为的能力。
依据对象确立输出的三个报告和《面临的威胁列表》,从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低,形成《威胁行为分析报告》。
4)分析脆弱性的被利用性。
依据对象确立输出的三个报告、《面临的威胁列表》和《存在的脆弱性列表》,按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度,形成《脆弱性分析报告》。
5)分析资产的价值。
依据对象确立输出的三个报告和《需要保护的资产清单》,从敏感性、关键性和昂贵性等方面,分析资产价值的大小,形成《资产价值分析报告》。
6)分析影响的程度。
依据对象确立输出的三个报告和《需要保护的资产清单》,从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅,形成《影响程度分析报告》。
风险等级评价阶段的工作流程和内容如下:1)评价威胁源动机的等级。
依据《威胁源分析报告》,给出威胁源动机的等级,形成《威胁源等级列表》。
2)评价威胁行为能力的等级。
依据《威胁行为分析报告》,给出威胁行为能力的等级,形成《威胁行为等级列表》。
3)评价脆弱性被利用的等级。
依据《脆弱性分析报告》,给出脆弱性被利用的等级,形成《脆弱性等级列表》。
4)评价资产价值的等级。
依据《资产价值分析报告》,给出资产价值的等级,形成《资产价值等级列表》。
5)评价影响程度的等级。
依据《影响程度分析报告》,给出影响程度的等级,形成《影响程度等级列表》。
6)综合评价风险的等级。
汇总上述分析报告和等级列表,从风险评估算法库中选择合适的风险评估算法,综合评价风险的等级,形成《风险评估报告》。
风险评估算法库是各种风险评估算法的汇集,包括公认算法和自创算法。
评价等级级数可以根据评价对象的特性和实际评估的需要而定,如〈高、中、低〉三级,〈很高、较高、中等、较低、很低〉五级等。
在风险评估的识别、分析和评价过程中,需要利用适当且有效的评估方法和评估工具。
定性评估方法和定量评估方法。
专家系统和过程式算法。
基本评估方法、非常评估方法、详细评估方法和综合评估方法。
等。
风险识别方法识别风险的途径包括核对表基于经验和记录的判断、流程图、集体讨论、系统分析、情况分析和系统工程方法。
所使用的方法将取决于所评审的活动的性质和风险的类型。
风险分析方法风险分析根据对各要素的指标量化以及计算方法不同分为定性分析、半定量分析和定量分析的风险分析方法,或者是这些分析的组合。
定性分析方法定性分析方法是被广泛使用的一种风险分析方法,也是出现在大部分标准中的一种方法。
它对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式,而不是准确的可能性和损失量。
该方法通常只关注威胁事件所带来的损失(Loss),而忽略事件发生的概率(Probability)。
多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。
在定性评估时并不使用具体的数据,而是指定期望值,如设定每种风险的影响值和概率值为“高”、“中”、“低”。
有时单纯使用期望值,并不能明显区别风险值之间的差别。
可以考虑为定性数据指定数值。
例如,设“高”的值为3,“中”的值为2,“低”的值为1。
但是要注意的是,这里考虑的只是风险的相对等级,并不能说明该风险到底有多大。
所以,不要赋予相对等级太多的意义,否则将会导致错误的决策。
定性分析常用于:初始的筛选活动,以鉴定出需要更详细分析的风险。
风险的程度不能证明要进行更充分的分析所需的时间和努力是合算的场合数据不足以进行定量分析的场合半定量分析在半定量分析中,上述的那些定性数值范围均为已知值。
每项说明所指定的数字并不一定与后果或可能性的实际大小程度具有精确的关系。
假如用来进行优先化系统与选择用来对数字赋值和组合的系统是相匹配的,则可将这些数字采用一系列公式中的任何一个公式加以组合。
目的是为了得到比通常在定性分析中所得到的更为详细的优先化,但并非要提出任何在定量分析中所试图的到的风险的实际值。
使用半定量分析时必须小心,因为所选择的数字未必能正确地反映会导致不一致结果的相关性。
半定量分析可能不能恰当地区分各种风险,尤其是当结果或可能性处于极端状态时。
有时,将可能性考虑成是由两个要素组成的较为恰当,通常称为暴露频率和概率。
暴露频率是风险来源存在的程度,,而概率是随着该风险源的存在而产生的后果的机会。
在这两个要素之间的关系并非完全独立的情况下,即暴露频率与概率之间的关系密切时,就必须谨慎。
定量分析定量风险分析方法关注的是资产的价值和威胁的量化数据。
定量分析方法利用两个基本的元素:威胁事件发生的概率和可能造成的损失。
把这两个元素简单相乘的结果称为ALE(Annual Loss Expectancy)或EAC(Estimated Annual Cost)[2]。
理论上可以依据ALE计算威胁事件的风险等级,并且做出相应的决策。
文献[1]提出了一种定量风险评估方法。
该方法首先评估特定资产的价值V,把信息系统分解成各个组件可能更加有利于整个系统的定价,一般按功能单元进行分解;然后根据客观数据计算威胁的频率P;最后计算威胁影响系数µ,因为对于每一个风险,并不是所有的资产所遭受的危害程度都是一样的,程度的范围可能从无危害到彻底危害(即完全破坏)。
根据上述三个参数,计算ALE:ALE =V × P × µ但是这种方法存在一个问题,就是数据的不可靠和不精确。
对于某些类型的安全威胁,存在可用的信息。
例如,可以根据频率数据估计人们所处区域的自然灾害发生的可能性(如洪水和地震)。
也可以用事件发生的频率估计一些系统问题的概率,例如系统崩溃和感染病毒。
但是,对于一些其他类型的威胁来说,不存在频率数据,影响和概率很难是精确的。
此外,控制和对策措施可以减小威胁事件发生的可能性,而这些威胁事件之间又是相互关联的。
这将使定量评估过程非常耗时和困难。
鉴于以上难点,可以转用客观概率和主观概率相结合的方法。
应用于没有直接根据的情形,可能只能考虑一些间接信息、有根据的猜测、直觉或者其他主观因素,称为主观概率[3]。
应用主观概率估计由人为攻击产生的威胁需要考虑一些附加的威胁属性,如动机、手段和机会等。
因此,真正使用此类方法来评估是很有难度的。
实践中常用方法在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。
所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。
风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。
影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。
组织应该针对不同的情况来选择恰当的风险评估方法。
目前,实际工作中经常使用的风险评估方法包括基线评估、详细评估和组合评估三种。
基线评估如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
组织可以根据以下资源来选择安全基线:国际标准和国家标准,例如BS 7799-1、ISO 13335-4;行业标准或推荐,例如德国联邦安全局IT 基线保护手册;来自其他有类似商务目标和规模的组织的惯例。
当然,如果环境和商务目标较为典型,组织也可以自行建立基线。
基线评估的优点是需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。