风险评估(英语:Risk Assessment),是风险管理的一个重要过程。风险评估包括了以下二个工作:

  1. 识别及分析对人员、财产或环境可能有潜在危害的事件(危害分析英语hazard analysis
  2. 在考虑影响因素的情形下,进行“基于风险分析的风险容忍度”的判断(也就是风险评估)[1][2]

风险管理国际标准ISO 31000英语ISO 31000定义风险评估的过程为:风险评估是风险识别、风险分析及风险评价的全过程。在ISO 3101“风险管理——风险评估技术”中,明确给出了风险评估过程需要解决的5个基本问题:

  1. 现状是什么?可能发生什么(事件)?为什么发生?
  2. 产生的后果是什么?对目标的影响有多大?
  3. 这些后果发生的可能性有多大?
  4. 是否存在可以减轻风险后果、降低风险可能性的因素?
  5. 风险等级是否是可容忍或可接受的?是否需要进一步应对?

而表示风险的方法则为:经常用一个事件的后果(包括情况变化)和对应的发生可能性这二者的结合来表示风险。风险的定义已经发生了颠覆性的改造,摆脱了传统管理思维中定义风险为纯损失的模式,从而直接改变风险管理的方式:降低损失,最大化机遇。

应用领域

编辑

在所有类型的复杂系统工程都利用先进的风险评估系统来增加工程的安全性和可靠性,尤其在涉及到生活,环境或机器运转领域。核工业、航天、石油、铁路、军工等行业使用风险评估有着悠久的历史。此外,医疗、医院和食品工业控制风险和进行风险评估的应用在持续推进。因为财务决策、环境、生态或公共健康风险的不同,在不同行业间和风险评估方法也不同。

审计

编辑

审计中的风险评估是指审计师为了了解被审计者及其环境而实施的审计程序。审计师根据这些程序获取的审计证据评估重大错报风险。

网络安全(cyber security)

编辑

威胁和风险评估(Threat and Risk Assessment)简称TRA,是风险管理上有关网络攻击的评估。威胁和风险评估会识别网络风险、评估风险严重程度,也会有建议的活动,使风险降到可以接受的水准。

在进行威胁和风险评估时,有不同的方法论(协调TRA方法论[3]),其中会利用以下的元素:[4][5][6]识别资产(需要保护的事物)、识别和评估需识别资产的威胁和弱点、确定漏洞的可能被利用的程度、确认漏洞相关风险的程度(如果资产损坏或丢失,会有什么影响)、推荐风险缓解计划。

相关条目

编辑

参考资料

编辑
  1. ^ Rausand M. Chapter 1: Introduction. Risk Assessment: Theory, Methods, and Applications. John Wiley & Sons. 2013: 1–28 [2021-12-30]. ISBN 9780470637647. (原始内容存档于2021-12-30). 
  2. ^ Manuele FA. Chapter 1: Risk Assessments: Their Significance and the Role of the Safety Professional. Popov G, Lyon BK, Hollcraft B (编). Risk Assessment: A Practical Guide to Assessing Operational Risks. John Wiley & Sons. 2016: 1–22 [2021-12-30]. ISBN 9781118911044. (原始内容存档于2021-12-30). 
  3. ^ Security, Canadian Centre for Cyber. Canadian Centre for Cyber Security. Canadian Centre for Cyber Security. 2018-08-15 [2021-08-09]. (原始内容存档于2021-12-30). 页面存档备份,存于互联网档案馆
  4. ^ Baingo, Darek, Masys, Anthony J. , 编, Threat Risk Assessment (TRA) for Physical Security, Sensemaking for Security, Advanced Sciences and Technologies for Security Applications (Cham: Springer International Publishing), 2021: 243–270 [2021-08-09], ISBN 978-3-030-71998-2, doi:10.1007/978-3-030-71998-2_14 (英语) 
  5. ^ An Overview of Threat and Risk Assessment | SANS Institute. www.sans.org. [2021-08-09]. (原始内容存档于2021-12-30). 页面存档备份,存于互联网档案馆
  6. ^ Secretariat, Treasury Board of Canada. Rescinded [2019-06-28] - Security Organization and Administration Standard. www.tbs-sct.gc.ca. 2006-03-06 [2021-08-09]. (原始内容存档于2022-01-20). 页面存档备份,存于互联网档案馆