企业新闻

风险结果判定

2018-04-03 14:29:39 | 来源:中培企业IT培训网

7.风险结果判定

风险结果判定阶段包括评估风险的等级、综合评估风险状况两个工作过程。

1)评估风险的等级

评估风险的等级,需要依据《风险计算报告》,根据已经制定的风险分级准则,对所有风险计算结果进行等级处理,形成《风险程度等级列表》。

风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产的风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险评估值在可接受的范围外,即风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。



  2)综合评估风险状况

综合评估风险状况,需要}[总各项输出文档和《风险程度等级列表》,综合评价风险状况,形成《风险评估报告》。

《风险评估报告》是对整个风险评估过程和结果进行的总结,应详细说明被评估对象、 风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容。

《风险评估报告》是组织机构确定信息安全需求的依据,为风险处理活动提供输入,是后续信息安全建设工作的基础。

标签: 风险结果判定

猜你喜欢