各種規(guī)模企業(yè)的風(fēng)險(xiǎn)評估方法

石彤

中圖分類號：F272.35 文獻(xiàn)標(biāo)識：A 文章編號：1674-1145（2019）8-155-01

摘 要 隨著國家對于信息安全的要求級別的增高，各個(gè)行業(yè)逐步將信息安全認(rèn)證作為自我規(guī)范的標(biāo)準(zhǔn)，越來越多的企業(yè)關(guān)注起風(fēng)險(xiǎn)管理和信息安全管理。做好信息安全管理，風(fēng)險(xiǎn)評估無疑是其核心，直接影響信息安全管理的質(zhì)量。

關(guān)鍵詞 風(fēng)險(xiǎn)評估 信息安全 頭腦風(fēng)暴法 關(guān)鍵業(yè)務(wù)法

如何進(jìn)行風(fēng)險(xiǎn)評估？如何選擇適用于企業(yè)的風(fēng)險(xiǎn)評估方法，是很多企業(yè)都關(guān)心的問題。目前業(yè)界的風(fēng)險(xiǎn)評估方法基本上有兩種模式：一種是識別公司所有資產(chǎn)而進(jìn)行的風(fēng)險(xiǎn)評估，我姑且稱之為頭腦風(fēng)暴法；一種是識別公司關(guān)鍵業(yè)務(wù)，圍繞關(guān)鍵業(yè)務(wù)相關(guān)的資產(chǎn)而進(jìn)行的風(fēng)險(xiǎn)評估，我稱之為關(guān)鍵業(yè)務(wù)法。

頭腦風(fēng)暴法是集所有員工的智慧，按照硬件、軟件、人員、數(shù)據(jù)、文檔、服務(wù)、無形資產(chǎn)等資產(chǎn)類別進(jìn)行充分識別，通過CIA（可靠性、保密性、完整性）資產(chǎn)賦值選擇高價(jià)值的重要資產(chǎn)，風(fēng)險(xiǎn)評估針對這些重要資產(chǎn)進(jìn)行，通過資產(chǎn)發(fā)生風(fēng)險(xiǎn)的可能性，發(fā)生風(fēng)險(xiǎn)的影響程度以及資產(chǎn)的價(jià)值計(jì)算出風(fēng)險(xiǎn)值，對風(fēng)險(xiǎn)值根據(jù)高低劃分為不同等級，制定了風(fēng)險(xiǎn)接受準(zhǔn)則之后（可接受風(fēng)險(xiǎn)等級）。針對不可接受的風(fēng)險(xiǎn)制定處置計(jì)劃，按照處置計(jì)劃實(shí)施處置后再次評估（二次評估）后即為剩余風(fēng)險(xiǎn)，所有剩余風(fēng)險(xiǎn)要交最高管理者簽字確認(rèn)。

關(guān)鍵業(yè)務(wù)法是首先識別公司的關(guān)鍵業(yè)務(wù)，風(fēng)險(xiǎn)評估僅針對關(guān)鍵業(yè)務(wù)相關(guān)的資產(chǎn)，忽略非關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)。圍繞關(guān)鍵業(yè)務(wù)進(jìn)行資產(chǎn)識別（硬件、軟件、人員、數(shù)據(jù)、文檔、服務(wù)、無形資產(chǎn)等），通過資產(chǎn)賦值、風(fēng)險(xiǎn)評估，計(jì)算出不同等級的風(fēng)險(xiǎn)，按照風(fēng)險(xiǎn)接受準(zhǔn)則，針對不可接受風(fēng)險(xiǎn)制定處置計(jì)劃，按照處置計(jì)劃實(shí)施控制就，通過再評估（二次評估）確認(rèn)剩余風(fēng)險(xiǎn)。

兩種風(fēng)險(xiǎn)評估方法不分仲伯，選擇的關(guān)鍵在于是否適用于企業(yè)的需要。什么是適用？就是花小錢辦大事，以最小的代價(jià)，取得最好的風(fēng)險(xiǎn)管控。相較之下，頭腦風(fēng)暴法適合中小規(guī)模企業(yè)，通過每個(gè)人的貢獻(xiàn)，充分識別資產(chǎn)上的風(fēng)險(xiǎn)，防堵安全漏洞；關(guān)鍵業(yè)務(wù)法適用于中大型企業(yè)，特別是超大規(guī)模企業(yè)，可以節(jié)省評估成本，將錢花在最關(guān)鍵的業(yè)務(wù)上，最大化風(fēng)險(xiǎn)管理效能。

風(fēng)險(xiǎn)評估的目的是為了降低風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn)，真正意義上的風(fēng)險(xiǎn)消除基本上是不可能的，采用適當(dāng)?shù)姆椒?，減少評估的投入產(chǎn)出比對各種規(guī)模企業(yè)都是重要的。選擇適合的方法，以最小的成本消除主要的風(fēng)險(xiǎn)。

介紹完了風(fēng)險(xiǎn)評估的方法，關(guān)于風(fēng)險(xiǎn)評估過程還有兩點(diǎn)需要注意。一是剩余風(fēng)險(xiǎn)評估過程。真是針對風(fēng)險(xiǎn)評估過程的不可接受風(fēng)險(xiǎn)實(shí)施二次處置后二次風(fēng)險(xiǎn)評估的過程，這里需要注意的是剩余風(fēng)險(xiǎn)報(bào)告的簽署。所謂剩余風(fēng)險(xiǎn)是指風(fēng)險(xiǎn)評估中的高風(fēng)險(xiǎn)，實(shí)施處置后，經(jīng)再次風(fēng)險(xiǎn)后的風(fēng)險(xiǎn)，可能是已經(jīng)降低到可接受范圍的低風(fēng)險(xiǎn)，也有可能仍是不可接受的風(fēng)險(xiǎn)。不可接受的情況多來源于風(fēng)險(xiǎn)本身來自于外部，以現(xiàn)有的風(fēng)險(xiǎn)處置方法無法消除或者降低風(fēng)險(xiǎn)，只能接受；亦或風(fēng)險(xiǎn)的處置需要付出的成本超出風(fēng)險(xiǎn)本身帶來的損失，經(jīng)考慮不實(shí)施處置。無論哪種情況，剩余風(fēng)險(xiǎn)都需要報(bào)告給最高管理者，以確認(rèn)可能出現(xiàn)的風(fēng)險(xiǎn)對公司可能帶來的影響，并由最高管理者簽字認(rèn)可。當(dāng)然最高管理者的簽字也是一種風(fēng)險(xiǎn)的轉(zhuǎn)移。

二是風(fēng)險(xiǎn)評估的標(biāo)尺也是十分重要的，標(biāo)尺過高，風(fēng)險(xiǎn)顯露不出來，標(biāo)尺過低，需要處置的風(fēng)險(xiǎn)過多，導(dǎo)致管理成本的過大。審核中常見兩種企業(yè)，一種企業(yè)，風(fēng)險(xiǎn)評估只評出1個(gè)不可接受風(fēng)險(xiǎn)，或者干脆沒有，聽起來似乎不錯(cuò)，沒有風(fēng)險(xiǎn)，但是真的沒有嗎？這世界上沒有絕對沒風(fēng)險(xiǎn)的東西，可以判斷這種企業(yè)用于風(fēng)險(xiǎn)評估的投入，一定大大多于風(fēng)險(xiǎn)評估帶來的風(fēng)險(xiǎn)降低，說白了，就是風(fēng)險(xiǎn)評估沒有起到實(shí)際的作用；另一種企業(yè)評估出的風(fēng)險(xiǎn)占了資產(chǎn)的80%，甚至90%，并一一實(shí)施了處置，結(jié)果是耗費(fèi)了大量的人力、物力、財(cái)力，從管理結(jié)果來看可能跟處置資產(chǎn)20%主要風(fēng)險(xiǎn)得到的效果相較超不多。也就是白花了不少冤枉錢。當(dāng)然這兩種現(xiàn)象都是由于風(fēng)險(xiǎn)評估標(biāo)尺的設(shè)定不合適造成的。如何選擇合適的標(biāo)尺，是一門學(xué)問，每個(gè)企業(yè)都需要摸索適合各自的。適宜的標(biāo)尺能幫企業(yè)節(jié)省成本，同時(shí)也不用影響風(fēng)險(xiǎn)管理的效果。這里我想介紹一下我的方法，依據(jù)二八原則，針對20%（主要風(fēng)險(xiǎn)）的風(fēng)險(xiǎn)實(shí)施處置，解決公司80%的風(fēng)險(xiǎn)問題，看起來經(jīng)濟(jì)效益最佳，不妨可以用這個(gè)方法制定標(biāo)尺。當(dāng)然標(biāo)尺一旦被制定下來，并不意味著一成不變，應(yīng)根據(jù)管理的水漲船高，來自于客戶的需要、新技術(shù)的使用等等，適度地提高接受準(zhǔn)則或者增加風(fēng)險(xiǎn)識別的顆粒度。這樣才能保證企業(yè)的風(fēng)險(xiǎn)管理能夠持續(xù)改進(jìn)，而非停滯在同一水平上。

愿大家能根據(jù)自身的情況，并參考行業(yè)的經(jīng)驗(yàn)，找出適于自身的風(fēng)險(xiǎn)評估方法，使工具能更好地為管理服務(wù)，提高管理效能，最大化將企業(yè)風(fēng)險(xiǎn)控制在最小范圍之內(nèi)。