風(fēng)險(xiǎn)評(píng)估（Risk Assessment）是指在風(fēng)險(xiǎn)事件發(fā)生之后，對(duì)于風(fēng)險(xiǎn)事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失進(jìn)行量化評(píng)估的工作。

（1）對(duì)風(fēng)險(xiǎn)本身的界定。包括風(fēng)險(xiǎn)發(fā)生的可能性；風(fēng)險(xiǎn)強(qiáng)度；風(fēng)險(xiǎn)持續(xù)時(shí)間；風(fēng)險(xiǎn)發(fā)生的區(qū)域及關(guān)鍵風(fēng)險(xiǎn)點(diǎn)。

（2）對(duì)風(fēng)險(xiǎn)作用方式的界定。包括風(fēng)險(xiǎn)對(duì)企業(yè)的影響是直接的還是間接的；是否會(huì)引發(fā)其他的相關(guān)風(fēng)險(xiǎn)；風(fēng)險(xiǎn)對(duì)企業(yè)的作用范圍等。

（3）對(duì)風(fēng)險(xiǎn)后果的界定。在損失方面：如果風(fēng)險(xiǎn)發(fā)生，對(duì)企業(yè)會(huì)造成多大的損失？如果避免或減少風(fēng)險(xiǎn)，企業(yè)需要付出多大的代價(jià)？在冒風(fēng)險(xiǎn)的利益方面：如果企業(yè)冒了風(fēng)險(xiǎn)，可能獲得多大的利益？如果避免或減少風(fēng)險(xiǎn)，企業(yè)得到的利益又是多少？

風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括：

• 識(shí)別組織面臨的各種風(fēng)險(xiǎn)
• 評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響
• 確定組織承受風(fēng)險(xiǎn)的能力
• 確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)
• 推薦風(fēng)險(xiǎn)消減對(duì)策

在風(fēng)險(xiǎn)評(píng)估過程中，有幾個(gè)關(guān)鍵的問題需要考慮。

首先，要確定保護(hù)的對(duì)象（或者資產(chǎn)）是什么？它的直接和間接價(jià)值如何？

其次，資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有多大？

第三，資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程度又如何？

第四，一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？

最后，組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程度？

解決以上問題的過程，就是風(fēng)險(xiǎn)評(píng)估的過程。

進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，有幾個(gè)對(duì)應(yīng)關(guān)系必須考慮：

• 每項(xiàng)資產(chǎn)可能面臨多種威脅
• 威脅源（威脅代理）可能不止一個(gè)
• 每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn)

在風(fēng)險(xiǎn)管理的前期準(zhǔn)備階段，組織已經(jīng)根據(jù)安全目標(biāo)確定了自己的安全戰(zhàn)略，其中就包括對(duì)風(fēng)險(xiǎn)評(píng)估戰(zhàn)略的考慮。所謂風(fēng)險(xiǎn)評(píng)估戰(zhàn)略，其實(shí)就是進(jìn)行風(fēng)險(xiǎn)評(píng)估的途徑，也就是規(guī)定風(fēng)險(xiǎn)評(píng)估應(yīng)該延續(xù)的操作過程和方式。

風(fēng)險(xiǎn)評(píng)估的操作范圍可以是整個(gè)組織，也可以是組織中的某一部門，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風(fēng)險(xiǎn)評(píng)估進(jìn)展的某些因素，包括評(píng)估時(shí)間、力度、展開幅度和深度，都應(yīng)與組織的環(huán)境和安全要求相符合。組織應(yīng)該針對(duì)不同的情況來選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估途徑。目前，實(shí)際工作中經(jīng)常使用的風(fēng)險(xiǎn)評(píng)估途徑包括基線評(píng)估、詳細(xì)評(píng)估和組合評(píng)估三種。

在風(fēng)險(xiǎn)評(píng)估過程中，可以采用多種操作方法，包括基于知識(shí)（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，無論何種方法，共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前安全水平與組織安全需求之間的差距。

基于知識(shí)的分析方法

在基線風(fēng)險(xiǎn)評(píng)估時(shí)，組織可以采用基于知識(shí)的分析方法來找出目前的安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。

基于知識(shí)的分析方法又稱作經(jīng)驗(yàn)方法，它牽涉到對(duì)來自類似組織（包括規(guī)模、商務(wù)目標(biāo)和市場(chǎng)等）的“最佳慣例”的重用，適合一般性的信息安全社團(tuán)。采用基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資源，只要通過多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。