风险评估及案例

目录[隐藏]1风险评估的定义2风险评估的内容3风险评估任务4风险评估过程注意事项5风险评估的三种可行途径5.1基线评估5.2详细评估5.3组合评估6风险评估的常用方法风险评估（RiskAssessment）风险评估的定义风险评估（RiskAssessment）是指在风险事件发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。风险评估的内容（1）对风险本身的界定。包括风险发生的可能性；风险强度；风险持续时间；风险发生的区域及关键风险点。（2）对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的；是否会引发其他的相关风险；风险对企业的作用范围等。（3）对风险后果的界定。在损失方面：如果风险发生，对企业会造成多大的损失？如果避免或减少风险，企业需要付出多大的代价？在冒风险的利益方面：如果企业冒了风险，可能获得多大的利益？如果避免或减少风险，企业得到的利益又是多少？风险评估任务风险评估的主要任务包括：识别组织面临的各种风险评估风险概率和可能带来的负面影响确定组织承受风险的能力确定风险消减和控制的优先等级推荐风险消减对策风险评估过程注意事项在风险评估过程中，有几个关键的问题需要考虑。首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？解决以上问题的过程，就是风险评估的过程。进行风险评估时，有几个对应关系必须考虑：每项资产可能面临多种威胁威胁源（威胁代理）可能不止一个每种威胁可能利用一个或多个弱点风险评估的三种可行途径在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。基线评估如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估（BaselineRiskAssessment）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：国际标准和国家标准，例如BS7799-1、ISO13335-4；行业标准或推荐，例如德国联邦安全局IT基线保护手册；来自其他有类似商务目标和规模的组织的惯例。当然，如果环境和商务目标较为典型，组织也可以自行建立基线。基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。详细评估详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。详细评估的优点在于：1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；2、详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。组合评估基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于次实践当中，组织多是采用二者结合的组合评估方式。为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。风险评估的常用方法在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。基于知识的分析方法在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。1、某公司属于国有控股公司，最高权力机构是股东大会，执行机构是董事会，还设有职工代表大会以及各职能部门、分公司等。其内部控制制度及业务活动情况如下：1、会计、出纳分设。财务部经理的妻子担任出纳，并兼任满足行政部门需要的日常业务，亲自办理取款、购买、报销等手续。支票等票据由会计保管，支取款项的印章都由总经理亲自保管。2、材料采购由供应部经理审批、专门采购员实施，各项费用由总经理签字报销。某日，采购员在采购时发现当地主要媒体宣传另一公司A产品正在开展促销活动，称其为高科技产品，可以替代本企业主要原料并能够节约成本30%，促销时间仅有两天。采购员认为时间过于紧张，来不及请示供应部经理，因此直接电告企业总经理，总经理决定采购100吨，价税合计100万元。采购员当即采购并由仓库验收入库，经总经理签字后办理了货款支付手续。后来生产车间反映，该批材料不适应生产要求，只能折价处理，造成损失30万元。总经理指示调整成本预算，将30万元损失记入正常材料耗费。3、办理销售、发货、收款三项业务的部门分别设立。同时考虑到销售部门比较熟悉客户情况，也便于销售部进行业务谈判，确定授权销售部兼任信用管理机构。对大额销售业务，销售部可自主定价、签署销售合同。为逃避银行对公司资金流动的监控，企业在销售业务中尽可能利用各种机会由业务员向客户收取现金，然后交财务部存放在专门的账户上。某月销售业务员甲联系到一个大客户，完成了300万元的销售任务，并将款项交财务部入账。次月，该业务员谎称对方要求退货，并自行从其他企业低价购入同类商品要求仓储部门验收入库，仓储部门发现商品商标都丢失，但未进行进一步查验，直接办理了各项手续（但没有出具质检报告）。财务部将退货款项转入业务员提供的银行账号。4、为了提高分公司的积极性，公司决定授予分公司自主决定是否对外提供担保业务、是否对外投资的权力。5、年初公司财务部（没有专门的预算管理机构）制定年度预算方案以后，报股东大会批准后立即执行。发生采购失误事件后，财务部根据总经理的意向决定调整成本费用预算，并认为当年圆满完成了企业预算目标。要求分析该公司内部会计控制方面存在哪些问题，并简要说明理由。答案：1、财务部经理的妻子担任出纳违背了回避制度。按照有关规定，单位负责人的直系亲属（含配偶）不得担任本单位会计机构负责人、会计主管人员，会计机构负责人、会计主管人员的直系亲属不得担任本单位出纳人员。国有控股公司财务部经理的妻子担任出纳工作，不符合货币资金控制的回避制度，应另行安排人员担任出纳工作。2、出纳人员同时办理取款、购买、报销手续不符合采购与付款岗位分工控制的要求。按照《内部控制规范―采购与付款（试行）》的规定，单位不得由同一部门或个人办理采购与付款业务的全过程。某国有控股公司由出纳人员同时“办理取款、购买、报销等手续”，违背了采购与付款控制规范中岗位分工控制的要求，应将相关工作交由不同人员办理，以实现相互制约和相互监督。3、支取款项的印章都由总经理亲自保管不符合印章控制的规定。按照《内部控制规范―货币资金（试行）》的规定，单位财务专用章应由专人保管，个人名章由其本人或授权人员保管，严禁一人保管支付款项所需的全部印章。支取款项的印章“都由”总经理一人保管违背了货币资金控制规范的要求，支取款项的印章应由出纳、财务部主管、总经理等相关人员分别保管。4、原材料采购授权批准控制制度没有严格实施。首先，按照《内部控制规范―采购与付款（试行）》规定，单位应当对采购与付款业务建立严格的授权批准制度，明确审批人对采购与付款业务的授权批准方式、权限、程序、责任和相关控制措施，审批人不得越权审批；明确经办人的职责范围和工作要求，严禁未经授权的机构和人员办理采购与付款业务。该公司供应部经理拥有采购相关问题的批准权限，但采购员直接向总经理请示，总经理越权批示是导致采购失误的重要原因。其次，按照《内部控制规范―采购与付款（试行）》规定，单位对于重要的和技术性较强的采购业务应当组织专家进行可行性论证，并实行集体决策和审批。该公司总经理贸然决定采购“高科技”产品，没有经过专家的可行性论证和集体决策、审批，违背了采购决策控制要求。5、该公司内部控制制度违背了不相容职务（岗位）相互分离控制的要求。按照《内部控制规范―销售与收款（试行）》规定，应当建立销售与收款业务的岗位责任制，明确相关部门和岗位的职责和权限，确保办理销售与收款业务的不相容岗位相互分离、制约和监督；有条件的单位应当建立专门的信用管理部门或岗位，负责制定单位信用政策，监督各部门信用政策执行情况，信用管理岗位与销售业务岗位应分设；不得由同一部门或个人办理销售与收款业务的全过程。该公司销售部兼任信用管理机构、销售人员直接收取货款均违背了不相容职务（岗位）相互分离的要求，销售部和信用管理部门、销售与收款等岗位应该分开设立。6、该公司销售与收款授权批准控制存在缺陷。按照《内部控制规范―销售与收款（试行）》规定，单位应明确审批人员对销售业务的授权批准方式、权限、程序、责任和相关控制措施，审批人员不得越权审批；明确经办人员的职责范围和工作要求；对于金额较大或超过单位既定销售政策、信用政策规定范围的特殊销售业务，单位应当进行集体决策，防止决策失误而造