风险管理风险评估技术

发布 2022-02-07 18:35:28 阅读 3255

risk management —risk assessment techniques

一、任务**。

当前,风险管理活动的重要性正日益为人们所认识,并已成为很多组织的一项日常工作。风险评估是风险管理活动的必要组成部分,其通过一种系统性和结构性的过程来进行风险的识别、分析和评价。在此过程中,评估技术和方法的合理选取和正确应用,对风险评估的顺利实施具有极其重要的作用。

因此,通过标准化工作来反映当前风险评估技术选择及应用的良好实践,为国内各类组织提供权威和有效的风险管理技术支持和实施指导,成为近期全国风险管理标准化技术委员会的一项重要工作任务。

根据国家标准化管理委员会2023年国家标准制、修订计划,由中国标准化研究院负责组织起草国家标准《风险管理风险评估技术》,项目编号为20090118-t-469,计划2023年完成报批。

本项任务由全国风险管理标准化技术委员会(sac/tc310)提出并归口。

二、标准编制过程。

从2023年起,中国标准化研究院就开展了对相关国际标准的研究和跟踪工作,并积极参与了iec 31010《风险管理风险评估技术》的讨论制定过程,为本标准的起草进行了良好的前期准备。

2023年6月,中国标准化研究院组织相关科研院校和企事业单位,成立了该标准的起草工作组,确定了标准草稿的内容框架与制定原则,并于2023年8月完成了iec 31010 fdis稿的翻译工作。起草小组在参考该国际标准相关内容的基础上,基于国内风险评估的实际状况,在征集相关专家的意见后,提出了国家标准草案(工作组讨论稿)。

2023年9月10日和10月22日,起草组召集工作组专家在京分别召开了两次标准讨论会,对该讨论稿进行了广泛的商讨和咨询,充分交换了意见,并在会后依据专家意见对草案进行了进一步的修改完善。

2023年11月,工作组最终形成了国家标准征求意见稿,现拟向社会公开征求意见。

三、标准制定的依据与指导思想。

1、参考iec 31010《风险管理风险评估技术》的fdis稿,结合我国风险评估实践的实际情况,遵循gb/t 24353-2009《风险管理原则与实施指南》,编制本标准;

2、边跟踪国际标准边开展国家标准的制定;

3、标准的编写遵守国家标准gb/t 1.1—2000《标准化工作导则第1部分:标准的结构和编写规则》;gb/t 2000.

1—2002《标准化工作指南第1部分:标准化和相关活动的通用词汇》;gb/t 2000.2—2002《标准化工作指南第2部分:

采用国际标准的规则》和gb/t 2001—2001《标准编写规则》;

4、该标准应具有较高的科学性、先进性,同时充分考虑现阶段我国企业的实际情况和发展水平,使其具有较大的可操作性;

5、该标准旨在反映当前风险评估技术选择及应用的良好实践,但不应涉及那些新出现、尚在发展中的等还未获得专业人员共识的评估技术概念。

四、主要技术内容介绍及分析。

1、标准的主体内容及适用范围。

该标准为依据gb/t 24353-2009开展风险评估活动的组织提供技术支持。标准指出了风险评估与其它风险管理活动的联系,详细阐述了风险评估活动展开的具体过程和步骤,并指导组织如何选择合适的风险评估工具并正确使用。标准还附有资料性附录,介绍了一系列常用的风险评估技术,供实践者参考。

本标准具有通用性,可以为众多行业及各类系统提供指导。

2、 风险评估的相关概念。

在风险管理过程中,风险评估并非一项独立的活动,必须有效整合到风险管理过程的其它组成部分中。本标准所指的风险评估是在gb/t 24353-2009所描述的风险管理过程内展开的。gb/t 24353-2009中界定的风险管理过程包含以下要素:

明确环境信息;风险评估(包括风险识别、风险分析与风险评价);风险应对;监督和检查;沟通和记录。

3、 风险评估的具体过程。

风险评估是由风险识别、风险分析及风险评价构成的一个完整过程。该标准对每一步骤都做了详细说明,易于使用者理解和操作。

4、风险评估技术的的选择。

风险评估的形式及结果应与组织的自身情况适合。选择合适的风险评估技术和方法,有助于组织及时高效地获取准确的评估结果。该标准给出了在选择风险评估技术时所应考虑的因素,指导组织选择合适的风险评估工具。

为了便于理解,提高标准的可操作性,标准的资料性附录a按适用阶段和影响因素,对常用的风险评估技术进行了分类比较,以助于使用者更清晰地理解各类评估技术的特点。附录b对这些常用的风险评估技术和方法展开了进一步的详述介绍。

五、其它需要说明的问题。

本标准计划修改采用iec 31000《风险管理风险评估技术》国际标准。但在具体制定过程中,起草者发现,尽管该国际标准iec 31010宣称遵循iso 31000《风险管理原则与实施指南》,但是其内容并不完全一致,并且该国际标准所提供的一些风险评估方法和技术更偏重于安全工程领域。为了符合我国国内的风险评估实践情况,满足国内大多数行业对风险评估技术的需求,起草小组结合gb/t 24353-2009《风险管理原则与实施指南》,参考iec 31000《风险管理风险评估技术》的fdis稿,编制而成本标准。

thanks !!

致力为企业和个人提供合同协议,策划案计划书,学习课件等等。

打造全网一站式需求。

风险管理风险评估标准

风险评估标准。建立风险评估标准的目的在于为it安全解决方案提供依据和参考。适用于公司所有it安全的风险分析和评估。1.information technology security techniques evaluation criteria it security iso iec15408 3 2...

产品风险评估管理方案

1.目的 通过了解并参照产品售卖地有效力的法规 产品标准 行业规定等,针对影响产品和包装的风险,建立系统 合理 全面 完全执行和维护的风险评估体系,明确风险源的识别方法和与步骤,确定风险评价标准,对高风险制定有效控制措施,降低风险率发生,提高产品 环保和安全健康的要求,确保从供方到满足终端客户的顺利...

风险评估心得

资产评估的内容并不复杂,在这部份工作中,我觉得重点在于与客户共同进行资产的分类及确定核心资产,对评估工作做一个权衡。因为只有明确资产并做好权衡后才能有效进行后续的威胁与弱点评估,否则容易导致事倍功半。威胁评估 本地完成 ids部署搜集威胁源。收集并评估策略文档。bs7799顾问访谈。事件分析。威胁报...