風(fēng)險(xiǎn)評(píng)估是指在風(fēng)險(xiǎn)事件發(fā)生之前，對該事件會(huì)造成的影響和損失的可能性進(jìn)行評(píng)估的活動(dòng)。風(fēng)險(xiǎn)評(píng)估可以針對個(gè)人的風(fēng)險(xiǎn)、企業(yè)的風(fēng)險(xiǎn)、事件的風(fēng)險(xiǎn)、外部環(huán)境的風(fēng)險(xiǎn)等等，不同的風(fēng)險(xiǎn)評(píng)估雖然評(píng)估對象不同，但基本的方法論都是類似的。即風(fēng)險(xiǎn)評(píng)估就是對評(píng)估對象所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性。

那么，風(fēng)險(xiǎn)評(píng)估需要開展哪些工作呢？

通常，風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)處置建議三個(gè)步驟。其中，風(fēng)險(xiǎn)要素識(shí)別工作主要是對評(píng)估活動(dòng)中的各類關(guān)鍵要素資產(chǎn)、威脅、脆弱性等進(jìn)行識(shí)別與賦值。資產(chǎn)識(shí)別一般包括資產(chǎn)分類、資產(chǎn)調(diào)查和資產(chǎn)賦值。威脅識(shí)別一般包括威脅分類、威脅調(diào)查和威脅分析。脆弱性可從技術(shù)和管理兩個(gè)方面進(jìn)行。風(fēng)險(xiǎn)分析是對業(yè)務(wù)相關(guān)的資產(chǎn)、威脅、脆弱性及其各項(xiàng)屬性的關(guān)聯(lián)分析，綜合進(jìn)行風(fēng)險(xiǎn)分析和計(jì)算。風(fēng)險(xiǎn)處置建議主要針對評(píng)估出的風(fēng)險(xiǎn)，提出相應(yīng)的處置建議。

為了更好地進(jìn)行風(fēng)險(xiǎn)分析，領(lǐng)域?qū)＜医�立了風(fēng)險(xiǎn)分析模型（如下圖），將資產(chǎn)、威脅、脆弱性三個(gè)基本要素及每個(gè)要素相關(guān)屬性，進(jìn)行關(guān)聯(lián)，并建立各要素之間的相互作用機(jī)制關(guān)系。

基于風(fēng)險(xiǎn)分析模型，可以進(jìn)行定性計(jì)算和定量計(jì)算。定性計(jì)算是將風(fēng)險(xiǎn)的各要素資產(chǎn)、威脅、脆弱性等的相關(guān)屬性進(jìn)行量化（或等級(jí)化）賦值，然后選用具體的計(jì)算方法（如相乘法或矩陣法）進(jìn)行風(fēng)險(xiǎn)計(jì)算；定量計(jì)算是通過將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值的方式來進(jìn)行計(jì)算的一種方法。由于定量計(jì)算方法在實(shí)際工作中可操作性較差，一般風(fēng)險(xiǎn)計(jì)算多采用定性計(jì)算方法。風(fēng)險(xiǎn)的定性計(jì)算方法實(shí)質(zhì)反映的是被評(píng)估主體面臨風(fēng)險(xiǎn)大小的排列排序，確定風(fēng)險(xiǎn)的性質(zhì)（幾乎無、無關(guān)緊要、可接受、較嚴(yán)重、非常嚴(yán)重等），而不是風(fēng)險(xiǎn)計(jì)算值本身的準(zhǔn)確性。

通常，利用計(jì)算得出的風(fēng)險(xiǎn)值可進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分，風(fēng)險(xiǎn)值越高，風(fēng)險(xiǎn)等級(jí)越高。這個(gè)等級(jí)劃分的過程就是風(fēng)險(xiǎn)分析與評(píng)價(jià)過程。風(fēng)險(xiǎn)等級(jí)一般可劃分為五級(jí)：很高、高、中等、低、很低，也可根據(jù)項(xiàng)目實(shí)際情況確定風(fēng)險(xiǎn)的等級(jí)數(shù)，如劃分為高、中、低三級(jí)。

風(fēng)險(xiǎn)分析結(jié)束后，要編制風(fēng)險(xiǎn)評(píng)估報(bào)告，報(bào)告中應(yīng)對計(jì)算分析出的風(fēng)險(xiǎn)給予詳細(xì)說明，主要包括：風(fēng)險(xiǎn)對被評(píng)估主體的影響范圍、影響程度、依據(jù)的法規(guī)和證據(jù)及風(fēng)險(xiǎn)評(píng)價(jià)結(jié)論等內(nèi)容。

風(fēng)險(xiǎn)評(píng)估的最后一個(gè)環(huán)節(jié)是風(fēng)險(xiǎn)處置建議，可以編寫《風(fēng)險(xiǎn)處置建議書》 對評(píng)估中發(fā)現(xiàn)的問題給予有針對性的風(fēng)險(xiǎn)處置建議。

下面簡單討論一下涉密集成保密風(fēng)險(xiǎn)評(píng)估與管理。我們知道，在涉密信息系統(tǒng)集成保密標(biāo)準(zhǔn)中，對保密風(fēng)險(xiǎn)評(píng)估與管理在范圍和頻次上有著明確的要求。即，資質(zhì)單位每年要開展一次針對業(yè)務(wù)流程、相關(guān)人員、業(yè)務(wù)場所等全要素的保密風(fēng)險(xiǎn)評(píng)估，對發(fā)現(xiàn)的保密風(fēng)險(xiǎn)隱患進(jìn)行分析和評(píng)估，還要制定防控措施，并建立相應(yīng)的監(jiān)督檢查機(jī)制，以期達(dá)到全面降低保密風(fēng)險(xiǎn)的目的。

對于涉密集成資質(zhì)單位或擬申請資質(zhì)的單位，保密風(fēng)險(xiǎn)評(píng)估與管理是一項(xiàng)必須做好的重要工作。具體實(shí)施內(nèi)容如下。

首先，在組織上要成立保密風(fēng)險(xiǎn)評(píng)估小組，負(fù)責(zé)公司保密風(fēng)險(xiǎn)評(píng)估工作，并由保密管理辦公室監(jiān)督檢查評(píng)估工作。

其次，在制度保障上，要建立健全相關(guān)制度，將防控措施融入到管理制度和業(yè)務(wù)工作流程當(dāng)中，在日常監(jiān)督、定期自查過程中，使保密風(fēng)險(xiǎn)評(píng)估與管理活動(dòng)有章可循。

第三，嚴(yán)格遵守標(biāo)準(zhǔn)，制定保密風(fēng)險(xiǎn)評(píng)估方案，并嚴(yán)格按照方案進(jìn)行風(fēng)險(xiǎn)評(píng)估與管理。

第四，風(fēng)險(xiǎn)評(píng)估活動(dòng)過程中要形成符合規(guī)范的風(fēng)險(xiǎn)評(píng)估報(bào)告。

第五，風(fēng)險(xiǎn)評(píng)估活動(dòng)結(jié)束后，資質(zhì)單位要根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告的風(fēng)險(xiǎn)處置建議進(jìn)行實(shí)施，并對風(fēng)險(xiǎn)應(yīng)對預(yù)案的執(zhí)行情況進(jìn)行實(shí)時(shí)監(jiān)控和反饋，從而達(dá)到提高抗風(fēng)險(xiǎn)能力和保密管理能力的目的。

作者：李志剛