石彤

中图分类号：F272.35 文献标识：A 文章编号：1674-1145（2019）8-155-01

摘 要 随着国家对于信息安全的要求级别的增高，各个行业逐步将信息安全认证作为自我规范的标准，越来越多的企业关注起风险管理和信息安全管理。做好信息安全管理，风险评估无疑是其核心，直接影响信息安全管理的质量。

关键词 风险评估 信息安全 头脑风暴法 关键业务法

如何进行风险评估？如何选择适用于企业的风险评估方法，是很多企业都关心的问题。目前业界的风险评估方法基本上有两种模式：一种是识别公司所有资产而进行的风险评估，我姑且称之为头脑风暴法；一种是识别公司关键业务，围绕关键业务相关的资产而进行的风险评估，我称之为关键业务法。

头脑风暴法是集所有员工的智慧，按照硬件、软件、人员、数据、文档、服务、无形资产等资产类别进行充分识别，通过CIA（可靠性、保密性、完整性）资产赋值选择高价值的重要资产，风险评估针对这些重要资产进行，通过资产发生风险的可能性，发生风险的影响程度以及资产的价值计算出风险值，对风险值根据高低划分为不同等级，制定了风险接受准则之后（可接受风险等级）。针对不可接受的风险制定处置计划，按照处置计划实施处置后再次评估（二次评估）后即为剩余风险，所有剩余风险要交最高管理者签字确认。

关键业务法是首先识别公司的关键业务，风险评估仅针对关键业务相关的资产，忽略非关键业务风险。围绕关键业务进行资产识别（硬件、软件、人员、数据、文档、服务、无形资产等），通过资产赋值、风险评估，计算出不同等级的风险，按照风险接受准则，针对不可接受风险制定处置计划，按照处置计划实施控制就，通过再评估（二次评估）确认剩余风险。

两种风险评估方法不分仲伯，选择的关键在于是否适用于企业的需要。什么是适用？就是花小钱办大事，以最小的代价，取得最好的风险管控。相较之下，头脑风暴法适合中小规模企业，通过每个人的贡献，充分识别资产上的风险，防堵安全漏洞；关键业务法适用于中大型企业，特别是超大规模企业，可以节省评估成本，将钱花在最关键的业务上，最大化风险管理效能。

风险评估的目的是为了降低风险或转移风险，真正意义上的风险消除基本上是不可能的，采用适当的方法，减少评估的投入产出比对各种规模企业都是重要的。选择适合的方法，以最小的成本消除主要的风险。

介绍完了风险评估的方法，关于风险评估过程还有两点需要注意。一是剩余风险评估过程。真是针对风险评估过程的不可接受风险实施二次处置后二次风险评估的过程，这里需要注意的是剩余风险报告的签署。所谓剩余风险是指风险评估中的高风险，实施处置后，经再次风险后的风险，可能是已经降低到可接受范围的低风险，也有可能仍是不可接受的风险。不可接受的情况多来源于风险本身来自于外部，以现有的风险处置方法无法消除或者降低风险，只能接受；亦或风险的处置需要付出的成本超出风险本身带来的损失，经考虑不实施处置。无论哪种情况，剩余风险都需要报告给最高管理者，以确认可能出现的风险对公司可能带来的影响，并由最高管理者签字认可。当然最高管理者的签字也是一种风险的转移。

二是风险评估的标尺也是十分重要的，标尺过高，风险显露不出来，标尺过低，需要处置的风险过多，导致管理成本的过大。审核中常见两种企业，一种企业，风险评估只评出1个不可接受风险，或者干脆没有，听起来似乎不错，没有风险，但是真的没有吗？这世界上没有绝对没风险的东西，可以判断这种企业用于风险评估的投入，一定大大多于风险评估带来的风险降低，说白了，就是风险评估没有起到实际的作用；另一种企业评估出的风险占了资产的80%，甚至90%，并一一实施了处置，结果是耗费了大量的人力、物力、财力，从管理结果来看可能跟处置资产20%主要风险得到的效果相较超不多。也就是白花了不少冤枉钱。当然这两种现象都是由于风险评估标尺的设定不合适造成的。如何选择合适的标尺，是一门学问，每个企业都需要摸索适合各自的。适宜的标尺能帮企业节省成本，同时也不用影响风险管理的效果。这里我想介绍一下我的方法，依据二八原则，针对20%（主要风险）的风险实施处置，解决公司80%的风险问题，看起来经济效益最佳，不妨可以用这个方法制定标尺。当然标尺一旦被制定下来，并不意味着一成不变，应根据管理的水涨船高，来自于客户的需要、新技术的使用等等，适度地提高接受准则或者增加风险识别的颗粒度。这样才能保证企业的风险管理能够持续改进，而非停滞在同一水平上。

愿大家能根据自身的情况，并参考行业的经验，找出适于自身的风险评估方法，使工具能更好地为管理服务，提高管理效能，最大化將企业风险控制在最小范围之内。