风险评估工作要求范文第1篇

为切实做好重大决策社会稳定风险评估规范化试点工作，根据XX省委政法委《重大决策社会稳定风险评估规范化试点工作的通知》《XX市重大决策社会稳定风险评估实施细则（试行）》《XX市防范化解和妥善处置群体性事件实施意见》要求，结合我镇实际，制定本方案。

一、指导思想

以新时代中国特色社会主义思想为指导，深入学习贯彻关于统筹发展和安全的重要论述，全面贯彻党的和二中、三中、四中、五中全会精神，增强风险意识，树立底线思维，坚持以人民为中心的发展思想，大力推进重大决策社会稳定风险评估规范化试点工作，以提升源头预防化解社会矛盾风险水平为核心，以被动维稳向主动创稳为目标，构建起党委政府统一领导、政法委统筹推进、各有关部门各负其责、社会各界协同参与的工作格局，努力打造重大决策社会稳定风险评估规范化XX样板，为平安XX建设创造安全稳定的社会环境，以优异成绩庆祝建党100周年。

二、试点范围

在全镇范围内试点。

三、主要任务

（一）规范评估主体

党委和政府作出决策的，由指定的相关部门作为评估主体。党委和政府有关部门作出决策的，由该部门或者牵头部门商定其他有关部门指定的机构作为评估主体。需多部门联合作出决策的，由初次决策的部门指定评估主体，不重复评估。

中央、省、市、区事权项目在我镇实施的，由作出决策或提请决策的中央、省、市直部门确定项目实施单位作为评估主体。中央、省、市、区共同决策的事项，由四方协商确定评估主体。跨区（市）、跨部门的重大事项，一般由共同的上级部门作为评估主体或由其指定评估主体。

外资企业、民营企业投资的重大工程项目由招引部门或党委政府作为评估主体。

（二）规范评估领域

对事关群众切身利益、可能引发影响社会稳定的重大政策制定调整、重大工程项目建设、重大活动举办和重大敏感案件办理等，都必须纳入评估范围，做到应评尽评。

1.重大政策类：涉及社会管理、社会保障、公共服务、生态环境保护等方面的重大政策和措施；涉及机关和事业单位改革、国有（国有控股）企事业单位产权转让、身份转换、用工安置等利益关系调整的改革事项。

2.重大项目类：涉及对经济社会发展、社会公众利益有重大影响或者投资规模较大的政府投资项目。

3.重大活动类：涉及社会治安、公共安全等方面可能造成较大影响的经贸、文化、体育等重大活动。

4.重大案件类：涉及影响社会安全稳定的重大敏感案件等。

（三）规范评估内容

1.合法性评估。主要分析决策事项是否符合国家法律、法规和有关文件要求等。

2.合理性评估。主要分析决策事项是否符合广大人民群众的利益等。

3.可行性评估。主要分析决策事项是否充分考虑群众的接受程度、承受能力，是否得到大多数群众的支持等。

4.可控性评估。主要分析决策事项是否会引发群体性事件、集体上访、个人极端事件、严重负面舆情等案事件；可能引发的社会稳定风险是否可控，是否有完善的防范化解措施和应急处置预案等。

（四）规范评估程序

根据与群众切身利益关联的密切程度和社会稳定的程度大小实行简易程序、一般程序、特殊程序三级评估程序。

1.简易程序。社会稳定风险评估内容单一、群众诉求较为集中明确、化解矛盾问题比较容易，存在一定风险的事项，由评估主体在召开专题分析会、查找安全稳定风险点、制定并落实风险化解和控制措施的基础上，形成社会稳定风险评估报告。

2.一般程序。社会稳定风险评估内容较多、涉及群众人数较多、群众诉求分化不一、对群众利益影响较大、矛盾和风险隐患比较突出，存在较大风险的事项，严格执行制定评估方案、开展风险调查、全面分析论证、评判风险等级、编制评估报告、评审评估报告、评估报告备案“七步流程”开展评估。

3.特殊程序。社会稳定风险评估内容复杂、涉及群众人数众多、涉及群众利益面广且矛盾尖锐复杂、情况特殊，存在重大风险的事项，通常在一般程序的基础上，针对评估事项的特殊性，加强对重点环节、重点群体、重点人员、重点部位的风险排查、防范和控制。

一般程序按照下列“七步流程”开展评估：

1.制定评估方案。明确评估目的、标准、步骤、方法、时限。

2.开展风险调查。采取抽样调查、实地走访、问卷调查、网络征求意见、召开座谈会、听证会等方式，广泛听取相关部门和社会公众、利益相关方、专家学者等意见。

3.全面分析论证。评估主体应当分门别类梳理各方意见和情况，客观全面地对重大决策社会稳定风险进行分析论证，对合法性、合理性、可行性、可控性进行深入分析和综合研判。

4.评判风险等级。根据分析论证情况，按照决策实施后可能对社会安全稳定造成的影响程度划分为高风险、中风险、低风险三个风险等级。

5.编制评估报告。评估报告应当包括评估事项、评估过程、评估方式方法、各方意见及其采纳情况、决策可能引发的社会风险点化解风险方案和应急处置预案、风险评估结论及决策建议等内容。

6.评审评估报告。评估责任主体应当从社会稳定风险评估专家库中抽取有关专家以及相关机构、党政部门代表、专业人员对评估报告进行评审。评审时，参加的人员原则上不少于5人；参与评审的人员应当发表意见，并出具本人签名的书面意见。

7.评估报告备案。评估报告由评估责任主体主要负责人签字后，报区委政法委备案，履行备案手续。未经备案程序的风险评估报告不得作为决策依据。

（五）规范评估方式

简易程序：评估主体可自行开展评估或邀请由相关部门、社会组织、专业机构、专家学者、决策所涉及群众代表等组成的评估小组实施社会稳定风险评估。

一般程序和特殊程序：应当邀请由相关部门、社会组织、专业机构、专家学者、决策所涉及群众代表等组成的评估小组实施社会稳定风险评估；也可以委托由市委政法委或区委政法委审核确认的第三方评估机构作为评估实施主体，按相关要求开展社会稳定风险评估。委托评估的，评估主体与受托方共同对评估质量负责。

（六）规范风险等级

1.高风险：大部分群众有意见、反应特别强烈，可能引发大规模群体性事件或者重大舆情事件的，应当区别情况作出不予实施的决策，或者在调整决策方案、降低风险等级后再行决策。

2.中风险：部分群众有意见、反应强烈，或者参与评估的部门、单位和专业机构对重大风险处理意见存在较大分歧，可能引发较大矛盾冲突的，应在采取有效防范化解措施降低风险等级后，再予以实施。

3.低风险：少部分群众有意见的，决策可予以实施，但应采取有效措施应对潜在风险。再予以实施。

（七）规范评估结果运用

决策机关应当充分参考社会稳定风险评估报告和评估结论，经决策机关领导班子会议集体讨论研究，确定重大决策事项的实施意见。坚持重评估更重化解、边实施边化解、先化解后实施，加强决策实施跟踪，严格落实风险防控化解责任，对决策实施过程中发生涉稳突出问题或出现新的涉稳风险点的，决策主体或评估主体应及时组织决策后再评估，并根据评估结果作出暂缓实施、调整实施或终止实施的决定。

四、实施步骤

根据省市区重大决策社会稳定风险评估规范化试点工作部署要求，试点工作时间为1年，自2021年1月至12月止。具体分“四个阶段”：

第一阶段（1月－3月）：动员部署。适时召开全镇重大决策社会稳定风险评估规范化试点工作动员会，对做好试点工作进行安排部署。制定印发一系列指导性文件，为重大决策社会稳定风险评估规范化试点工作提供依据。广泛开展宣传发动，为试点工作营造强大的舆论氛围，推动试点工作顺利开展。

第二阶段（4月－9月）：全面推开。全面推行社会稳定风险评估工作，将稳评工作嵌入决策和审批的前置和刚性程序。镇直各有关部门按照本方案的要求，结合实际制定下发本单位、本系统稳评工作实施办法，细化任务分解，主动对接掌握本单位本系统重大工程类、政策类、活动类等评估项目，制定稳评目录清单，完善“清单式”风险评估机制。严格执行评估前到区委政法委报备制度，评估报告编制后到区委政法委备案制度，严格落实评估台账月报告制度，切实做到应评尽评。对试点工作定期或不定期督导检查，对督查中发现的问题，及时通报、即时整改。实现试点工作攻坚突破，全力打好试点工作攻坚战。

第三阶段（10月－11月）：巩固提升。按照“深化提高、全面过硬”的工作要求，对照试点工作标准和要求，认真总结经验做法、取得的成效，分析存在的问题，于10月底前上报稳评完成情况。

第四阶段（12月）：打造样板。全面梳理试点工作，并进一步总结提炼试点工作创新做法和成功经验，打造可复制可推广的亮点工作，形成XX品牌，高质量完成稳评规范化试点工作。

五、工作要求

（一）加强组织领导。镇直各有关部门要高度重视稳评试点工作，将其纳入全年工作规划，切实加强对本部门领域社会稳定风险评估的组织推动、贯彻落实。镇成立以镇长为组长的XX镇重大决策社会稳定风险评估工作领导小组（附件），镇直各有关部门要按照“谁主管、谁负责”的要求，进一步细化领导责任和相关部门责任，健全完善重大决策社会稳定风险评估工作保障机制，充实必要人员力量，将稳评评估费用纳入年度预算，积极培育和引入第三方开展评估工作，推动重大决策社会稳定风险评估规范化试点工作深入开展。

（二）加强协作配合。镇直各有关部门要统筹兼顾，加强协作、相互配合，切实做好工作职能、工作力量、工作措施上的保障和衔接。采取学习、培训、考察、交流、研讨等多种形式提升各级各类人员的专业素养和能力素质，各级业务部门要认真履行职责，发挥好协调、指导、推动的作用。要积极探索推进社会稳定风险评估信息化建设，统筹利用各类媒介，扩大社会知晓度，引导全镇上下规范重大决策社会稳定风险评估工作，确保重大决策社会稳定风险评估规范化试点工作取得成效。

风险评估工作要求范文第2篇

关键词：信息安全；风险评估；教学

信息安全风险评估是进行信息安全管理的重要依据，通过对信息系统进行系统的风险分析和评估，发现存在的安全问题并提出相应的措施，这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》，对信息安全风险评估提出了具体的要求；欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段；2003年7月23日，国家信息中心组建成立“信息安全风险评估课题组”，提出了我国开展信息安全风险评估的对策和办法。2004年，国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准；2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求，同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学，是信息安全专业一门重要的专业课程，能全面培养学生综合运用专业知识，评估并解决信息系统安全问题的能力，是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强，课程发展十分迅速，涉及的学科范围也较广，传统的教学的模式不能使该课程的特点很好地展示出来，无法适应社会经济发展对信息安全从业人员的新要求，教学改革势在必行。

一、现状与存在的问题

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的安全威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南，用来确定合适的管理方针和选择相应的控制措施来保护信息资产，全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来，高校在制订本科专业教学培养目标和教学计划时，侧重于具体安全理论和技术的教学和讲授，特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看，多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上，而且教学课时数也较少，只有十个学时。当前从《信息安全风险评估》课程的教学情况来看，该课程在信息安全教育教学过程中地位有待提高，实践教学的建设与研究迫切需要深化。

当前该课程的教学实践中普遍存在以下几个方面的问题，严重制约了《信息安全风险评估》课程教学质量的提高：

1.本科教学大都以理论内容为主体，实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主，实验和课程设计的学时较少，实验内容也大多属于验证性质，缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计；

2.教学方法单一，缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少，师资力量相对薄弱，教学经验也比较缺乏，仍以主要由教师讲述的传统教学方式为主，学生进行具体实践和操作的课时较少，缺乏创新性的教学和研究，基本没有具有探索性和创新性特点的教学内容，不利于发挥学生主观能动性，提高其创新能力；

3.实验环境无法满足教学需求，缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚，缺乏相关的实验设备；而且受到资金和专业发展等多方面因素的制约，难以设立专门的信息安全风险评估实验室。此外，信息安全风险评估是以计算机技术为核心，涉及管理科学、安全技术、通信和信息工程等多个学科，对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识，又要加强实践训练。

二、教学改革与探索

高校计算机相关专业开设《信息安全风险评估》课程，不是培养网络信息安全方面的全才或战略人才，而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足，我们从以下几个方面对该课程的教学改革进行了探索：

1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力：《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程，目前开设该课程的高校较少，各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险，同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力：信息安全风险评估的关键是对信息系统的资产进行分类，对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法，包括使用各种自动化和半自动化的工具，可在模拟实验里，通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力：随着信息化的不断发展，信息系统所面临的安全威胁急剧增加，为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准，培养和提高学生继续学习的能力。另外，《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力，培养学生对信息安全风险评估领域进行探索和研究的兴趣，最终使学生掌握信息安全风险评估的知识和技能，能够解决具体信息系统的安全问题。

2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》（国信办2006年5号文）；同时，随着信息安全等级保护制度的推行，公安部会同有关部门出台了一系列政策文件，主要包括：《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等；国家信息安全标准化委员会颁发了《信息安全风险评估规范》（GB/T 20984~2007）、《信息系统安全等级保护基本要求》（GB/T 22239-2008）等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现，我们在教学过程中，增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T

22080-2008信息安全管理体系要求》、《GB/T22081-

2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习，并编制相关的调查、检查、测试表，重点强调对脆弱性检测的理论依据的描述，检测方法及其步骤的详细记录。

3.利用各种测评工具，提高学生实践能力。在信息安全风险评估过程中，资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具，并对具体的信息系统进行自动化或半自动化的分析，加深了学生信息安全风险评估的理论知识理解，同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估，该系统的服务器存在感染病毒的症状，其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描，发现了“远程代码被执行”漏洞，而且该漏洞能被蠕虫病毒利用，形成针对系统的攻击。通过案例特征提供了的信息，培养学生使用测评工具对具体信息系统进行安全风险评估的能力，并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。

笔者结合自己的教学实践体会，论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程，需要不断地根据信息系统在新环境下面临的各种威胁，制定新的评估标准和评估方案，并使得学生在有限的时间和环境下掌握相应的知识和技能，以满足社会对信息安全人才的需求。

参考文献：

[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010，26（8）：6-8.

[2]杨春晖，张昊，王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密，2007，（12）：75-77.

[3]潘平，杨平，罗东梅，何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

风险评估工作要求范文第3篇

[关键词] 风险评估工具 风险评估产品

一、市场前景

风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。风险评估工具不仅把技术人员从繁杂的资产统计、风险评估的工作过程中解脱出来，还可以完成一些人力无法完成的工作。

目前，许多组织根据一些安全管理指南和标准开发出风险评估工具，为风险评估的进行提供了便利条件。但综观这些工具的现状，还存在许多问题，如工具运用的结果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。同时，我国在风险评估工具的开发方面还处于萌芽阶段，没有成型的风险评估工具。因此开发出具有自主知识产权的风险评估工具具有广阔的市场前景。

二、信息安全风险评估产品格局

根据在风险评估过程中的主要任务和作用原理的不同，目前的风险评估工具可分为三类：综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具从管理的层面出发，根据信息所面临的威胁的不同分布进行全面考虑，如RA。信息基础设施风险评估工具包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统脆弱点。渗透性测试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑客测试，判断是否这些漏洞能够被他人利用。风险评估辅助工具用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。

可见，目前风险评估工具的类型界限非常明显，从需求的角度来看，管理型和技术层面的风险评估工具的需求已初露端倪。事实上，从管理角度进行风险评估的软件国内外已经有20余种，而技术层面的自动实现对网络环境风险评估的软件，目前还没有成型的产品。更多的仍是采用“漏洞扫描―渗透性测试―专家分析”的过程，而这种方式对评估人员的专业知识要求较高，对于一般的企业来说可操作性较差。因此，一个能够自动提供网络环境面临风险状况，提供控制风险解决方案的风险评估系统（策略管理系统）是企业真正需要的工具产品。

三、信息安全风险评估产品特点分析

国内信息安全风险评估产品及服务提供者主要来自于两个方向：一是国外提供商，包括国外知名的咨询机构，如美国Palisade公司的@RISK、英国CCTA的CRAMM、IIS的Internet Scanner、美国赛门铁克公司的NetRecon等，另一是国内专业从事信息安全的公司。企业自身由于IT技术相对较为薄弱，还没有能形成自己的专业工具。

1.国外主要信息安全风险评估厂商特点分析

目前，国外的信息安全风险评估产品在国内安全评估中的应用占有绝对优势，这一方面是因国外产品成熟度高，另一方面是因国内到目前为止还没有一套成形的风险评估产品。但从长远发展来看，国外软件公司占据中国软件绝大多数市场的局面只会是暂时的，将在一段时间内被拥有自主知识产权的本土化产品所替代。风险评估产品的国产化是必然趋势，主要原因如下：

(1)总体实施成本高昂

国外供应商在国内企业实施管理软件系统的过程中，必须对软件进行国产化，加之其他方面的成本考虑，同样实施一套管理软件，国外软件的采购、咨询、实施的费用要比国内软件的费用高出5到10倍。如此高的费用使得很多企业难以接受。

(2)国外企业管理制度、语言环境等方面差异化

由于国外的政策、企业的管理制度,以及风俗习惯与国内不同，这也决定了软件在流程规划、功能设计、界面交互等方面不太符合国内实际情况及应用要求，同时由于语言、环境的差异，给实际用户对系统的理解、功能的操作，以及帮助的使用都带来很大的不便。

（3)商业机密及国防安全方面考虑

在信息化建设过程中，会逐步涉及到企业的所有管理业务、资源、及资源配备等信息，这些信息的汇集，无形之中就形成了企业的商业机密和国家机密。

2.国内主要信息安全风险评估产品厂商特点分析

虽然目前人们对信息安全风险评估的重要性和其存在的地位给与极大的肯定，人们也认识到风险评估在整个系统生命周期（SDLC）中发挥着重要的作用，象电信、金融这样的大型行业成为在信息安全风险评估方面的领头羊为其行业内的风险评估工作一掷千斤，但目前国内推出专业风险评估工具的厂商凤毛麟角。2003年6月20日，启明星辰公司正式国内第一套专业的安全风险评估工具“天清安全风险与控制管理系统”，天清安全风险控制与管理系统是启明星辰信息技术有限公司与新加坡Maximus Consulting公司合作开发的信息管理类型的产品，完全按照BS7799/ISO17799标准而设计。其他公司也在这方面投入力量，但还没有相关的产品出现。目前在信息系统、网络层面的综合风险评估与管理工具还没有出现。对信息系统的风险评估仍是阶段式的交互进行。而更多情况下，人们对信息安全的焦点更多的落在网络环境中，但不同的公司在这方面的专业人员又有限，因此，迫切需要一个能够提供网络环境风险评估与管理的综合系统（决策管理系统）。

参考文献：

[1]Federal Deposit Insurance Corpaoration,Risk Assessment Tools and Practices for Information System Security,fdic.gov

[2]Jeff Forristal , Greg Shipley , Vulnerability Assessment Scanners, Network Computing ,January 8,2001

风险评估工作要求范文第4篇

1基于信息资产的风险评估方法

1.1风险评估的关键要素本文所述的风险评估以信息资产为核心，评估信息资产的价值及其所具有的脆弱性和所面临的威胁，并得出信息资产的风险。基于信息资产的风险评估的关键要素主要包括信息资产、资产价值、资产脆弱性(即资产弱点)及威胁。风险评估关键要素间的关系如图1所示。

1.2风险评估流程风险评估流程如图2所示。

1.2.1识别并评价信息资产(1)识别信息资产识别信息资产就是要对所有的信息资产进行梳理与识别，编制资产清单。资产清单主要包括以下要素：资产基本信息：资产编号、资产名称、资产功能和用途简述等；资产类别：资产归类是将信息资产在特定条件下归并为一组，以便于进行风险识别、评估及管理工作；资产所有者：确定信息资产所有人员或单位；资产保管者：确定信息资产管理权责人员；资产使用者：确定信息资产的使用人；资产保密性：确定信息资产在保密性方面的等级；资产完整性：确定信息资产在完整性方面的等级；资产可用性：确定信息资产在可用性方面的等级；资产价值：根据信息资产保密性、完整性、可用性的等级，取最大值作为资产价值。经过笔者实际评估后认为，识别信息资产的关键在于资产的分类，合理的资产分类将大大降低风险评估的工作量。资产大类可以分为信息系统类、人员类、物理环境类、外部服务类、数据类、无形资产类。以信息系统类为例，信息系统下可以继续分为主机型、终端型、软件型三个二级分类。在主机下还可以继续划分为12个三级分类。(2)评价信息资产对信息资产的评分需考虑信息资产三个要素：保密性、完整性和可用性。依据特定资产评价标准对资产进行评分，并取保密性、完整性与可用性分数的最大值，作为该项信息资产的最终价值。为资产价值设定一个标准值，超过标准值的资产才能进行下一步风险评估。

1.2.2识别并评估威胁(1)威胁分类根据威胁的来源，将威胁分为人员威胁、技术威胁、环境威胁三大威胁，并据此罗列出细化分类的常见威胁。(2)威胁与弱点匹配根据列举的安全威胁，对企业面临的信息安全弱点进行划分，评估出每项威胁可能面临的弱点。(3)评价威胁与弱点针对识别的威胁、弱点依次评估其发生机率及事件影响程度，计算出风险值，并在评分的过程中考虑现有控制措施。a.威胁可能性评分标准根据威胁在一定时期内发生的频率，设定威胁发生的可能性。b.影响程度评分标准信息资产的弱点被威胁利用，影响程度的评分标准见表1。

1.2.3风险值计算及风险分级(1)风险值计算风险值的最终确定需综合考虑三个方面，包括资产价值、风险发生的可能性以及风险发生的影响程度。通过识别和评估资产价值，并评估风险发生的可能性和风险发生的影响程度，综合计算出风险值，风险计算公式如下：风险值=信息资产价值×风险发生可能性×风险影响程度评估后将形成如下的风险矩阵，见图3。(2)风险分级依据风险评估结果撰写信息安全风险评估报告，提出可接受的风险等级建议，提交领导层审核并决定可接受的风险等级。

1.2.险评价在风险值确定后，依据风险值大小进行风险处置优先级排序。应制定风险接受水平，等于及高于风险接受水平的风险为高风险。制定风险接受水平时，企业应考虑当年风险处置资源投入成本。对于以下风险，应纳入高风险进行处理：可能导致企业违反国家法律法规、行业规章制度及其他合规标准；可能导致企业品牌、声誉和社会责任的损害；管理层评估为高风险的其他风险项。应以风险评分结果为基础，通过多个角度对企业面临的风险状况进行分析：重要信息资产的分布情况；高风险主要分布的信息资产类别；高风险主要面临的威胁和弱点。从多角度分析目前企业面临的风险现状，有利于企业把握风险管控的重点，为风险处置做出指引。

1.2.5风险处置风险评估完成后，需要制定风险处置计划，执行风险处置，最后要对处置后的情况进行风险再评估。(1)风险处置计划在企业管理层确定企业的风险接受水平后即可对等于、高于风险接受水平的高风险制定处置计划，确定处置方式。风险项的处置方式包括：依据企业管理层确定的风险接受水平，有意识地接受该接受水平之下的较低风险，暂不采取处置措施；采用适宜的控制措施减缓风险，尽可能合理减缓风险至企业的风险接受水平之下；废弃导致风险的信息资产而避免风险；将风险转嫁给第三方，如保险公司或供应商。计划的控制措施应考虑国家的法律法规要求、企业的运营目标、行业监管要求以及风险控制的成本与效益。(2)风险处置执行企业应组织风险的相关责任单位落实风险控制措施，在规定期限内完成风险处置项。(3)风险处置再评估在风险控制措施完成后，企业应对风险项(不包括风险接受水平以下的较低风险)进行二次评估。经过二次评估仍评价为高风险的风险项，应作为残余风险。对于属于以下情况的残余风险应提交管理层批准接受：该风险目前不在企业控制范围内；该风险在目前技术手段下无法有效控制；该风险处置的资源投入高于风险所造成的影响损失。

2风险评估方法的工具实现

风险评估是一项涉及环节众多的复杂工作，需要投入较多的专业人员开展具体工作。为了减轻工作量，提高工作效率，笔者所在单位专门设计开发了一套风险评估的工具平台，并在企业内部得到了应用。

2.1功能模块工具平台设计了以下功能模块,截图见图5。风险计划控制：对风险评估的时间计划进行控制，以便在规定的计划内完成风险评估。信息资产管理：对信息资产进行识别和评价。威胁弱点管理：对信息资产所面临的威胁和弱点进行识别管理。风险评估：根据资产价值、威胁、弱点等进行风险评估。风险处置：根据风险评估结果生成风险处置计划，并落实责任单位与责任人，跟踪风险处置情况。风险报告：根据历年来的风险评估的情况，形成统计报告，跟踪风险发生的趋势和控制措施的改进情况。权限管理：对访问该风险评估工具的用户权限进行配置。

2.2系统架构该工具实现基于B/S方式，用户可以通过浏览器访问该工具平台。在实现架构上，与传统WEB应用类似，分为三层：WEB服务层：采用ApacheHttpServer实现，用于展示静态页面，并将动态请求转发至后台应用处理；核心应用层：采用Tomcat应用服务器实现，用于处理增删改等动态请求；数据库层：采用Mysql数据库实现，用于存储信息资产清单、威胁库、弱点库以及风险评估结果等。

风险评估工作要求范文第5篇

一是安全评估体系不健全。大部分商行银行未明确安全评估管理的组织机构，缺少安全评估管理制度，未建立符合本行风险管理需要的安全评估体系。二是安全评估流程不规范。很多商业银行安全评估尤其是自评估缺少标准的流程控制，安全评估工作随意性强，大部分评估流于形式或依赖于个人经验，安全评估的结果不能真实的反映客观存在的风险。三是安全评估人才匮乏。安全评估工作具有较强的专业性，对评估人员的能力要求较高，而很多商业银行评估人员未经过相应的培训，缺少经验，并不真正具备安全评估的能力。四是安全评估方法不科学。商业银行评估尤其是自评估主要依据制度列表或个人经验，很难发现深层次问题并对风险准确定性，评估结果对风险处置的指导意见有限。五是安全评估数据积累不足。国内外主要的安全评估方法，需要根据历史事件统计事件发生概率，目前，很多商业银行尚未建立事件统计分析机制。

2安全评估管理的主要思路

通过研究国内外信息科技风险安全评估标准、规范及实践，提出了商业银行信息科技风险安全评估管理思路。

2.1建立安全评估组织体系

信息安全风险评估组织体系建设应充分考虑安全评估自身特点，并应结合商业银行的风险管理体系，安全评估的组织体系应包括两个方面：一是建立安全评估日常管理体系。该部分体系应在信息科技风险管理体系的基础上，明确高管层、信息科技风险管理部门、信息科技管理部门及其它相关部门的安全评估职责；二是建立安全评估项目管理机制。商业银行组织安全评估时应成立项目管理组织，并严格按照项目管理的流程对安全评估进行有效控制。

2.2建立信息安全风险评估标准流程

安全评估流程是安全评估标准化的控制手段，能够有效的控制安全评估的目标、范围、过程及质量，安全评估需要建立以下标准流程：一是安全评估的组织流程，即安全评估审批、总结、汇报等流程；二是安全评估的项目管理流程，安全评估应采用项目的管理方式进行组织，并按项目管理流程组织评估并形成项目阶段成果；三是安全评估的评估方法流程。安全评估根据标准的评估方法，并结合评估对象的特点，从资产识别、威胁识别、脆弱性识别、风险评估、已有措施确认等方面，建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。

2.3培养专业信息安全风险评估人员

专业的安全评估人员是安全评估的基本保证，应加大对信息安全风险评估人员的培训力度，培训主要从以下几个方面进行：一是加大评估管理要求、评估流程的培训力度，让评估人员能够了解信息科技安全管理的要求，掌握安全评估组织、项目及方法流程；二是加大信息安全知识培训力度，评估人员应全面学习信息安全的相关知识，了解目前信息安全面临的主要威胁及存在风险；三是加大安全评估技术培训力度，评估人员应了解安全评估相关技术，熟练掌握常用的安全评估工具；四是加大信息系统相关技术培训力度，安全评估要求评估人员应了解主机、网络及应系统等相关技术细节，应组织相应的技术培训，扩大评估人员的知识范围，并使评估人员深入了解各系统的技术细节。

2.4引入安全评估工具

为实现安全评估的专业化，商业银行应逐步引入和使用风险评估工具，风险评估工具包括以下三类：一是专业安全评估设备及软件，如漏洞扫描设备、安全审计平台等。二是专门的风险计算工具，如风险统计及计算表格，该类表格根据标准的计算方式，能够给出相对准确的风险量化值。二是风险管理系统，对风险进行汇总、统计及处置跟踪。

2.5建立风险评估数据积累机制