信息安全风险评估评估概述.ppt

风险评估第七讲信息安全管理之

风险评估信息安全风险评估概述信息安全风险评估策略信息安全风险评估流程信息安全风险评估方法风险评估案例

风险评估概述信息安全风险评估概述

风险评估概述A风险因子B风险因子隐患：内部失控事故外部作用产生了人们不期望的后果超出设定安全界限的状态、行为

风险评估概述系统减少：人的不安全行为改变：环境不安全条件减少：物的不安全状态消除：管理缺陷预防减少事故降低事故损失安全风险管理目标

风险评估概述企业风险管理框架一个基础三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会

风险评估概述一个基础：公司治理结构建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观

风险评估概述第一道防线：业务单位防线(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规

风险评估概述企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会

风险评估概述第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金

风险评估概述“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。”美国内部审计师协会第三道防线：内审单位防线第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：

风险评估概述内部审计的三大功能财务监督财务帐的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子： 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系)

风险评估概述咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子： 兼并收购时调查被投资公司的内部管理和 流程操作，了解薄弱环节或其他影响并购 交易的重大事项，从而确定管理方法和 并购策略

风险评估概述风险管理过程风险管理是对项目风险进行识别、分析、和应对的系统的过程。规划风险管理识别风险实施定性风险分析实施定量风险分析监控风险规划风险应对计划过程监控过程

风险评估概述1、规划风险管理流程项目范围说明书成本管理计划进度管理计划沟通管理计划事业环境因素风险态度风险承受度既定的风险管理方法规划会议、分析风险管理计划依据工具、技术结果

风险评估概述2、识别风险流程依据工具、技术结果项目范围说明书事业环境因素组织过程资产风险管理计划集成管理计划框架分析法头脑风暴法要素分析法情景分析法流程分析法潜在风险风险征兆风险来源风险清单风险登记册

风险评估概述3、实施定性风险分析流程依据工具、技术结果风险登记册风险数据质量评估概率影响矩阵风险概率和影响评估7、定性分析结果的趋势6、低优先观察清单5、进一步分析的风险4、需近期处理的风险3、风险成因及需关注领域2、按类别分类的风险1、优先级清单风险登记册（更新）组织过程资产风险管理计划项目范围说明书风险分类风险紧迫性评估专家判断

风险评估概述4、实施定量风险分析流程依据工具、技术结果风险登记册风险管理计划成本管理计划进度管理计划专家判断定量风险分析和建模数据收集与表现技术*定量风险分析结果中反应的趋势*实现成本和