評估風險需考慮的因素是:嚴重性、風險控制措施、可能性。
壹、風險評估的主要內容包括
1、識別評估對象面臨的各種風險。
2、評估風險概率和可能帶來的負面影響。
3、確定組織承受風險的能力。
4、確定風險消減和控制的優先等級。
5、推薦風險消減對策。
二、可能產生風險的事項和情形
1、監管及經營環境的變化;
2、新員工的加入;
3、新信息系統的使用或對原系統進行升級;
4、業務快速發展;
5、新技術的采用;
6、新的生產型號、產品和業務活動;
7、企業重組;
8、發展海外經營;
9、執行新的會計準則。
風險評估(Risk Assessment) 是指,在風險事件發生之前或之後(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某壹事件或事物帶來的影響或損失的可能程度。
從信息安全的角度來講,風險評估是對信息資產(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定信息安全需求的壹個重要途徑,屬於組織信息安全管理體系策劃的過程。
風險識別:“風險識別”(risk identification)是發現、承認和描述風險的過程。風險識別包括對風險源、風險事件、風險原因及其潛在後果的識別。風險識別包括歷史數據、理論分析、有見識的意見、專家的意見,以及利益相關方的需求。