风险评估

        风险评估，是在风险识别的基础上对风险进行计量、分析、判断、排序的过程，包括风险计价、风险分析、风险评价等步骤，是风险应对的主要依据，应立足于对固有风险和剩余风险的评估。风险评估代替不了风险管理，它只是全面风险管理的一个重要部分或重要步骤。
        风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一种重要途径，属于组织信息安全管理体系策划的过程。
　　决定应该在多大程度上关注对企业所面临的一下了风险的评估很困难，而且具有挑战性。从全面风险管理的实际工作考虑，在风险管理刚刚起步阶段的企业或小型企业，不必要进行具体细分，可统称风险评估，对已经开展全面风险管理工作的企业，尤其是大型企业可以将风险评估分为风险计价、风险分析、风险评价等或放弃风险评估的概念，用风险计价、风险分析和风险评价来代替。
        风险评估的内容是复杂多样的，简单说，就是评估风险发生的可能性和影响。可能性表示一个给定事项将发生的概率，影响则代表它的后果。
　　一般来说，对识别出来的风险，从可能性和影响两个方面进行评估后，就可以根据评估的结果采取应对措施。当然，不论怎么细分，贯穿始终的是要从可能性和影响两个方面进行评估。
　　全面风险管理要基于固有风险和剩余风险来进行评估，也就是要考虑固有风险，也要考虑剩余风险。固有风险是在没有采取任何措施来改变风险的可能性或影响的情况下，企业所面临的风险。剩余风险是在风险应对之后所残余的风险。对剩余风险的评估是指对企业风险管理或日常的管理活动中采取应对措施之后的风险进行的评估。从严格意义上来说，企业风险评估主要是对剩余风险的评估因为作为一个企业不可能无任何管理、无任何防范风险的措施，只是有些是无疑是进行的。仅对全面风险管理中风险应对之后残余风险进行评估，就要明确风险评估是一个持续性和重复性的互动过程，不能讲风险评估仅与一次性风险活动联系起来。无论是对固有风险的评估，还是对剩余风险的评估，始终不变的是要从可能性和影响两个方面来进行。
　　全面风险管理强调风险评估不能把注意力只集中在威胁上，要既考虑因威胁而退缩的风险，也考虑未抓住机会的风险。如果抓住机会就可能超越目标，但利用机会的本身也是一种风险。这就是说，全面风险管理中的风险评估，在评估风险发生的可能性和影响的同时，还要评估失去机会的可能性和影响。
        风险投资公司提示，在风险评估的过程中，有几个关键的问题需要考虑。首先，要确定保护的对象（或者资产）是什么？它的直接或者间接价值如何？其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？解决以上问题的过程就是风险评估的过程。