文档介绍:Revised as of 23 November 2020
安全风险评估
安全技术防范管理
安防系安防管理教研室 陈志华
第二章 风险评估基本知识
回答的主要问题
(1)什么是风险
(2)风et):单位/组织内的有形及无形资产
如:人员、信息、过程、财产等等。
风险及其构成
风险
评估
n 风险构成
Ø 风险因子间的关系
A
B
资产
威胁
C
D
弱点
风险及其构成
风险
评估
n 风险构成
Ø 风险与风险因子间的关系
资产
资产
弱点 弱点
威胁 威胁
资产
资产
弱点
威胁 威胁
弱点
风险及其构成
风险
评估
n 风险构成
Ø 问题:
风险是否等同于弱点
风险是否等同于威胁
风险是否等同于资产的价值
风险是否可以随着人的意志而改变
风险管理
风险
评估
n 风险管理概念
是通过对潜在的风险的识别、分析与评价的基础上,
选择适宜的处理风险措施和方法,以最少的管理成本,
将风险导致的各种不利后果减低到可接受程度的管理方
法和持续过程。
是一个组织对风险的指挥和控制的一系列协调活动。
包括了风险管理框架结构设计、风险管理实施、实
施过程的监视与审查和框架的持续改进四个典型的PDCA
循环。
风险管理
风险
评估
n 风险管理框架与实施过程
建立环境
沟
监
风险识别
通
视
与
与
风险分析
咨
审
询
查
风险评价
风险处置
风险评估概念及其过程
风险
评估
n 风险评估的概念
指在对资产及其威胁、弱点风险因素信息进行收集,
识别与分析的基础上,对损失发生的可能性及损失/影响
程度进行综合评判,给出风险程度的专家观点的过程。
风险评估是风险管理的重要组成部分。
风险评估概念及其过程
风险
评估
n 风险评估过程
评估范围界定
监
沟
风险识别 视
通
与
与
风险分析 审
咨
查
询
风险评价
风险评估报告
风险评估方法
风险
评估
n 界定风险评估范围
被防护对象
威胁
用户单位
资产 (关键资产)
风险
(组织)
弱点
风险评估方法
风险
评估
n 风险识别
是风险评估过程的第一步。
通过深入调查,识别出风险因素及其影响的对
象、安全事件产生的原因。
这项工作的目标,是建立完整的风险因素清单。
风险评估方法
风险
评估
n风险识别
风险 Risk
弱点 Vulnerability
威胁 Threat
资产 Asset
人、物、技、环境
传统安全威胁 CIKR
管理
NTS
一般资产
CIKR:重要基础设施及关键资源
Critical Infrastructure and Key Resources
风险 Ø 资产识别
评估
ü 资产的特点
l资产是被保护对象
l资产是安全保卫需要顾及的因素
l资产特征决定了损失模式
l资产决定了评估内容
风险 Ø 资产识别
评估
ü 资产的类型
资产
CIKR 一般资产
风险 Ø 资产识别
评估
ü 资产---CIKR
突发事件如果造成对重要基础设施和关键资源
的破坏,将会严重影响政府部门和经济界的正常运
作,并产生一连串远远超出事件所针对部门和所发
生区域的影响,甚至导致人民生命财产的巨大损失、
经济衰退以及公民士气和国家信心的灾难性损失。
— NIPP
风险 Ø 资产识别
评估
ü 资产---CI---重要基础设施
食品与农业、国家标志与象征、金融、国防工
业、化学与危险材料、水源、健康设施等。
风险 Ø 资产识别
评估
ü 资产--- KR — 关键资源
政府设施、水坝、商业设施、核电站 等。
风险
序号 资产 资产名细 描述文件
01 人员 o 本单位员工(含管理者)
评估
o 来访者
o 顾客
o 合同方(服务供应)人员
Ø 资产识别
02 过程
o 商务洽谈
o 研发、生产过程
o 其他
ü 资产—
03 信息
o 传递中的信息
o 存储中的信息
o 显露中的信息
一般资产
04
设施 o 建筑与设施
o 网络与系统
财产
o 现钞及贵金属
o 文物及艺术品
– 贵重物品
05
o 有价证券
财产
– 敏感物品
o 商业敏感物品
o 技术敏感物品
o 安全敏感物品
财产
–设备与物资