第一章风险管理基本知识.pptVIP

雷电灾害风险评估技术 什么是风险 风险是某种特定危险事件（事故或意外事件）发生的可能性和后果的组合。 危险发生的可能性 危险事件（发生）的后果 雷击风险：R=N P L 随着技术的发展，风险评估和风险管理技术作为复杂或重大事项决策的必要辅助手段，近年来在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用。 风险模型 风险即是以下三个要素发生的机会： 威胁：事件或行为，一般来自系统外部，可能在某些地方会影响固有的弱点，造成影响。 弱点：系统内部存在的弱点，可能在某些地方受到威胁的诱发。 影响：短期与长期的影响，威胁碰巧诱发弱点会产生影响。 风险=威胁*弱点*影响 风险评估 风险评估是对一个系统面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 每个人一天中都多次地就自已在特定情况下的行为所能造成的不期望的后果的相对概率进行分析。 基于法律对雇主的要求，判断在特定的情况下，应采取什么样的合理的预防性措施。 风险评估任务 识别系统面临的各种风险 评估风险概率和可能带来的负面影响 确定系统所能承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 风险评估类型 把已知的风险的信息应用到所考虑的环境中去，从而计算出目标概率，这是一种定量的风险评估。 以风险的综合数据为依据的个人判断，是一种主观的分析，是一种定性分析。 风险评估方法 基线评估 详细评估 组合评估 基线评估 组织根据自已的实际情况（所在行业、业务环境与性质等），对组织中某个系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。 详细评估 要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。 组合评估 采用基线评估和详细评估结合的组合评估方法。 基线评估耗费资源少、周期短、操作简单、但不够准确，适合一般环境的评估。 详细评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。 组合评估组织资源来资金能够应用到最能发挥作用的地方，具有高风险的系统能够被预先关注。但如果初步高级风险评估不够准确，某些本来需要详细评估的系统也许会被 忽略，最终导致结果失准。 风险评估方法另一种划分法 基于知识的分析方法 基于模型的分析方法 定量分析 定性分析 基于知识的分析方法 在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。 基于模型的分析方法 开发一个基于面向对象建模的风险评估框架，评估对象是对安全要求很高的一般性的系统，特别是IT系统的安全。组织可以定义、获取并维护IT系统的必威体育官网网址性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。 定量分析 对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值 ，风险评估的整个过程和结果就都可以被量化了。 定性分析 目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、弱点被 利用的容易度、现有控制措施的效力等）的大小或高低程度定性分级，例如“高、中、低”三级。 风险评估重要性 风险评估是风险管理的基础，是制定计划、审核方案的重要依据。只有找到什么地方会出现问题，才有可能对问题进行防范与控制。 风险评估是雇主必须履行的法律义务，其主要目的在于确定计划的或现行的控制措施是否充分，其意图是在伤害发生之前使风险得到控制。 风险评估过程 业务活动分类：编制一份业务活动表，其内容包括厂房、设备、人员和程序，并收集有关信息。 辨识危害：辨识与各项业务活动有关的所有重大危害。 确定风险：在假定计划的或现有控制措施适当的情况下，对与各项危害有关的风险作出主观评估。 判定风险是否可容许。 编制风险控制措施计划。 评审措施计划的充分性。 风险评估要求 指定组织内的一名高级成员促进和管理评估活动。 征询每一位有关人士的意见，讨论应计划做什么并得到其建议和承诺。 确定评估人员对风险评估培训的需求，并实施适当的培训计划。 评审评估的充分性，确定评估是否合适和是否充分，即是说，足够详尽而严密。 将管理的具体内容和评估的重要发现形成文件。 风险评估要考虑的因素 简单风险评估格式的设计 业务活动的分类标准及各项业务活动所需的信息。 危害辨识和分类方法。 确定风险的程序。 描述估计的风险水平的语汇。 判定风险是否可容许的标准 采取改进的时间期限（如果必要）。 提出的风险控制方法。 评审措施计划充分性的标准。 风险评估格式