Tags：Word模板 审计评估

仓库风险评估调查表是一款可以详细反映当今仓库风险的表格，能保证数据的完整性。在第七下载网里的模板都是最新的，需要的话就来拿吧！

什么是风险评估

风险评估(Risk Assessment) 是指，在风险事件发生之前或之后(但还没有结束)，该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。
从信息安全的角度来讲，风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。
在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。
一、基于知识的分析方法
在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。
采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径
采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，
从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。
基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：
• 会议讨论；
• 对当前的信息安全策略和相关文档进行复查；
• 制作问卷，进行调查；
• 对相关人员进行访谈；
• 进行实地考察。
为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种，Cobra 就是典型的一种。
二、基于模型的分析方法
2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。
三、定量分析
进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。
定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念：
暴露因子（Exposure Factor，EF）—— 特定威胁对特定资产造成损失的百分比，
或者说损失的程度。
单一损失期望（Single Loss Expectancy，SLE）—— 或者称作SOC（Single Occurance
Costs），即特定威胁可能造成的潜在损失总量。
年度发生率（Annualized Rate of Occurrence，ARO）—— 即威胁在一年内估计
会发生的频率。
年度损失期望（Annualized Loss Expectancy，ALE）—— 或者称作EAC（Estimated
Annual Cost），表示特定资产在一年内遭受损失的预期值。
考察定量分析的过程，从中就能看到这几个概念之间的关系：
（1） 首先，识别资产并为资产赋值；
（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值
在0％~100%之间）；
（3） 计算特定威胁发生的频率，即ARO；
（4） 计算资产的SLE：
SLE = Asset Value × EF
（5） 计算资产的ALE：
ALE = SLE × ARO
四、定性分析
定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。
定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi 方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。