南京标杆风险评估有限公司-社会稳定风险评估-稳定评估-评估咨询-预测风险-南京标杆
南京标杆科技有限公司成立于2005年，是一家专门为政府部门和投资者提供社会稳定风险评估咨询服务的专业咨询公司，公司服务范围包括编制及评估项目社会稳定风险评估报告，根据客户提供的资料与我公司人员实际的调研资料，与相关资深、权威专家学者合作，对项目所采取的措施进行总体社会安全稳定、社会影响、措施合理性和可行性等方面的评估，并从中发现问题且提出合理可行的解决方案，以保证项目所采取的措施更加可行，更加利于社会稳定...
地&&址：南京市玄武区成贤街118号
固&&话：025-
联系人：张经理此页面上的内容需要较新版本的 Adobe Flash Player。
工程咨询服务
商业计划书
项目申请报告出自 MBA智库百科()
风险评估（Risk Assessment）
　　风险评估（Risk Assessment）是指在发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。
　　（1）对风险本身的界定。包括风险发生的可能性；风险强度；风险持续时间；风险发生的区域及关键风险点。
　　（2）对风险作用方式的界定。包括风险对的影响是直接的还是间接的；是否会引发其他的相关风险；风险对企业的作用范围等。
　　（3）对风险后果的界定。在损失方面：如果风险发生，对企业会造成多大的损失？如果避免或减少风险，企业需要付出多大的代价？在冒风险的利益方面：如果企业冒了风险，可能获得多大的利益？如果避免或减少风险，企业得到的利益又是多少？
　　风险评估的主要任务包括：
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
　　在风险评估过程中，有几个关键的问题需要考虑。
　　首先，要确定保护的对象（或者）是什么？它的直接和间接价值如何？
　　其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？
　　第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？
　　第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？
　　最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？
　　解决以上问题的过程，就是风险评估的过程。
　　进行风险评估时，有几个对应关系必须考虑：
每项资产可能面临多种威胁
威胁源（威胁代理）可能不止一个
每种威胁可能利用一个或多个弱点
　　在的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。
　　风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
　　如果组织的不是很复杂，并且组织对和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，（）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。
　　采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：
和，例如、；
或推荐，例如德国联邦安全局IT 基线保护手册；
来自其他有类似商务目标和规模的组织的惯例。
　　当然，如果环境和商务目标较为典型，组织也可以自行建立基线。
　　基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。
　　基线评估的目标是建立一套满足基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。
　　详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。
　　详细评估的优点在于：
　　1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；
　　2、详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和的边界。
　　基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于次实践当中，组织多是采用二者结合的组合评估方式。
　　为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。
　　这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。
　　在风险评估过程中，可以采用多种操作方法，包括、、和，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。
　　一、基于知识的分析方法
　　在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
　　基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。
　　基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：
　　1.会议讨论；
　　2.对当前的信息安全策略和相关文档进行复查；
　　3.制作问卷，进行调查；
　　4.对相关人员进行访谈；
　　5.进行实地考察。
　　为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种，Cobra 就是典型的一种。
　　二、基于模型的分析方法
　　2001 年1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目，即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。
　　与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。
　　三、定量分析
　　进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。
　　定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值，风险评估的整个过程和结果就都可以被量化了。
　　简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。中有几个重要的概念：
　　暴露因子(Exposure Factor，EF)—— 特定威胁对特定资产造成损失的百分比，或者说损失的程度。
　　单一损失期望(Single Loss Expectancy，SLE)—— 或者称作SOC(Single OccuranceCosts)，即特定威胁可能造成的潜在损失总量。
　　年度发生率(Annualized Rate of Occurrence，ARO)—— 即威胁在一年内估计会发生的频率。
　　年度损失期望(Annualized Loss Expectancy，ALE)—— 或者称作EAC(EstimatedAnnual Cost)，表示特定资产在一年内遭受损失的预期值。
　　考察定量分析的过程，从中就能看到这几个概念之间的关系：
　　(1) 首先，识别资产并为资产赋值；
　　(2) 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF(取值在0％~100%之间)；
　　(3) 计算特定威胁发生的频率，即ARO；
　　(4) 计算资产的SLE：
　　SLE = Asset Value × EF
　　(5) 计算资产的ALE：
　　ALE = SLE × ARO
　　这里举个例子：假定某500,000 建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计是45％。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是45,000 美元。
　　我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性(可以用ARO 表示)，另一个就是威胁事件可能引起的损失(用EF 来表示)。
　　理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。
　　四、定性分析
　　定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素(资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等)的大小或高低程度定性分级，例如“高”、“中”、“低”三级。
　　定性分析的操作方法可以多种多样，包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。
本条目对我有帮助110
&&如果您认为本条目还有待完善，需要补充新内容或修改错误内容，请。
本条目相关文档
& 63页& 66页& 39页& 22页& 8页& 10页& 88页& 24页& 9页& 33页
本条目相关资讯
日 日 日 日 日
本条目由以下用户参与贡献
,,,,,,,,,.
评论(共5条)提示:评论内容为网友针对条目"风险评估"展开的讨论，与本站观点立场无关。
发表评论请文明上网，理性发言并遵守有关规定。&>>&&>>&&>>&
[四川]自贡市完成800公里以上长途客运线路安全风险评估检查
四川省交通运输厅&&&&&&&&　　日
　　为深刻吸取湖南“7.19”特大交通事故教训，有效预防800公里以上长途客运线路安全事故，自贡市交通运输部门组成4个检查组，历时三个月、行程2万余公里，对自贡市发往内蒙、江浙、闽粤、云南四个方向的14条800公里以上的超长客运线路逐线逐车进行安全风险评估检查工作，形成了《超长客运线路安全风险评估检查工作报告》。
　　针对这次评估检查发现的安全隐患和问题，自贡市交通运输部门要求全市超长客运企业要进一步加强三个方面的工作。一是强化管理，安全保障无死角。进一步强化超长客运安全保障措施，常态化排查营运驾驶员资格、交通违法记录、车辆的安全性能，重点是防止驾驶员疲劳驾驶。二是动态监控，处理违章无拖延。运输企业要充分发挥监控平台的作用，对车辆出站、超速、中途停车等状态加强监控，及时发现和制止车辆各类违法违章行为，力争处理率达到100%。三是加强检查，报告事故须及时。通过明察暗访等方式，及时发现并督促解决企业长途客运安全管理中存在的问题和隐患。严格事故报告制度，发生重特大道路交通事故后，及时向上级部门报告，增强事故报告的时效性。
版权所有 中华人民共和国交通运输部 维护单位 交通运输部科学研究院 ICP备案编号 京ICP备号西安可行性研究报告，西安商业计划书，西安节能评估报告，西安社会稳定风险评估报告
& & & 西安文海工程咨询有限公司，是致力于工程项目管理咨询、企业管理咨询、市场调研与策划、公关策划等服务。中心建有一支专业化的人才队伍，核心团队由注册咨询工程师、市场分析专家、财务分析专家、建筑工程师等构成。
& & & 公司主要提供项目可行性研究报告、资金申请报告、银行贷款申请报告、征地申请书、项目建议书、商业计划书、项目计划书等编制服务，可出具多达20余个行业的丙级、乙级、甲级资质。
& & & 目前可出具工程咨询甲级、乙级、丙级资质，主要包括农业、建筑、水电、机械、电子、能源、纺织、化纤、化工、医药、公路、建筑材料、有色冶金、综合经济、市政公用工程、生态建设与环境工程......
可行性研究（Feasibility
Study）是通过对项目的主要内容和配套条件，如市场需求、资源供应、建设规模、工艺路线、设备选型、环境影响、资金筹措、盈利能力等，从技术、经济...
能评估报告是指在项目节能评估的基础上，由工程咨询单位出具的节能评估报告书、节能评估报告表或节能评估登记表。节能评估，是指根据节能法规...
商业计划书是公司、企业或项目单位为了达到招商融资和其它发展目标之目的，在经过前期对项目科学地调研、分析、搜集与整理有关资料的基础上，根据一定的格式和内容的具体...
社会稳定风险评估，是指与人民群众利益密切相关的重大决策、重要政策、重大改革措施、重大工程建设项目、与社会公共秩序相关的重大活动等重大事项在制定出台
项目申请报告，是企业投资建设应报政府核准的项目时，为获得项目核准机关对拟建项目的行政许可，按核准要求报送的项目论证报告
西安文海工程咨询有限公司
陕西省西安市高新区高新路88号尚品国际C栋北803
友情链接:&，，&
西安文海工程咨询有限公司
24小时咨询热线:（王小姐）
非工业类项目：029- &手机：（赵先生）
工业类项目部：029- &手机：（王小姐）
传真：029- &客服QQ：
公司地址：陕西省西安市高新区高新路88号尚品国际C栋北803室