風險評估

        風險評估，是在風險識別的基礎上對風險進行計量、分析、判斷、排序的過程，包括風險計價、風險分析、風險評價等步驟，是風險應對的主要依據，應立足于對固有風險和剩余風險的評估。風險評估代替不了風險管理，它只是全面風險管理的一個重要部分或重要步驟。
        風險評估是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一種重要途徑，屬于組織信息安全管理體系策劃的過程。
　　決定應該在多大程度上關注對企業所面臨的一下了風險的評估很困難，而且具有挑戰性。從全面風險管理的實際工作考慮，在風險管理剛剛起步階段的企業或小型企業，不必要進行具體細分，可統稱風險評估，對已經開展全面風險管理工作的企業，尤其是大型企業可以將風險評估分為風險計價、風險分析、風險評價等或放棄風險評估的概念，用風險計價、風險分析和風險評價來代替。
        風險評估的內容是復雜多樣的，簡單說，就是評估風險發生的可能性和影響?？赡苄员硎疽粋€給定事項將發生的概率，影響則代表它的后果。
　　一般來說，對識別出來的風險，從可能性和影響兩個方面進行評估后，就可以根據評估的結果采取應對措施。當然，不論怎么細分，貫穿始終的是要從可能性和影響兩個方面進行評估。
　　全面風險管理要基于固有風險和剩余風險來進行評估，也就是要考慮固有風險，也要考慮剩余風險。固有風險是在沒有采取任何措施來改變風險的可能性或影響的情況下，企業所面臨的風險。剩余風險是在風險應對之后所殘余的風險。對剩余風險的評估是指對企業風險管理或日常的管理活動中采取應對措施之后的風險進行的評估。從嚴格意義上來說，企業風險評估主要是對剩余風險的評估因為作為一個企業不可能無任何管理、無任何防范風險的措施，只是有些是無疑是進行的。僅對全面風險管理中風險應對之后殘余風險進行評估，就要明確風險評估是一個持續性和重復性的互動過程，不能講風險評估僅與一次性風險活動聯系起來。無論是對固有風險的評估，還是對剩余風險的評估，始終不變的是要從可能性和影響兩個方面來進行。
　　全面風險管理強調風險評估不能把注意力只集中在威脅上，要既考慮因威脅而退縮的風險，也考慮未抓住機會的風險。如果抓住機會就可能超越目標，但利用機會的本身也是一種風險。這就是說，全面風險管理中的風險評估，在評估風險發生的可能性和影響的同時，還要評估失去機會的可能性和影響。
        風險投資公司提示，在風險評估的過程中，有幾個關鍵的問題需要考慮。首先，要確定保護的對象（或者資產）是什么？它的直接或者間接價值如何？其次，資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？第三，資產中存在哪些弱點可能會被威脅所利用？利用的容易程度又如何？第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？最后，組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度？解決以上問題的過程就是風險評估的過程。