1、第一部分風險評價新年伊始隨著公司業務量越來越多，給公司帶來了希望也帶來了風險，對作業環境的風險評價和作業崗位的風險評價工作日顯重要，目前從提交的安全管控方案等安全資料上看都存在著一些問題，在此公司安全環保部原與大家共同學習第一部分風險識別與評價什么是風險評價風險評價（Risk Assessment） 是指，在風險事件發生之前或之后（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評價的工作。即，風險評價就是量化測評某一事件或事物帶來的影響或損失的可能程度。從信息安全的角度來講，風險評價是對信息資產（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、

2、造成的影響，以及綜合作用所帶來風險的可能性的評價。風險評價任務風險評價的主要任務包括： 識別組織(或稱項目)面臨的各種風險 評價風險概率和可能帶來的負面影響 確定組織(或稱項目)承受風險的能力 確定風險消減和控制的優先等級 推薦風險消減對策 風險評價過程注意事項在風險評價過程中，有幾個關鍵的問題需要考慮。首先，要確定保護的對象（資產、人、其它）是什么？它的直接和間接價值如何？其次，資產、人、其它面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？ 第三，資產、人、其它中存在哪里弱點可能會被威脅？第四，一旦威脅事件發生，組織(或稱項目)會遭受怎樣的損失或者面臨怎樣的負面影響？最后，組織

3、(或稱項目)應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度？ 解決以上問題的過程，就是風險評價的過程。 進行風險評價時，有幾個對應關系必須考慮：每項資產可能面臨多種威脅 威脅源（威脅代理）可能不止一個 每種威脅可能利用一個或多個弱點 +風險評價的可行途徑在風險管理的前期準備階段，組織(或稱項目)已經根據安全目標確定了自己的安全戰略，其中重要的就是對風險評價戰略的考慮。所謂風險評價戰略，其實就是進行風險評價的途徑，也就是規定風險評價應該延續的操作過程和方式。 風險評價的操作范圍可以是整個組織，也可以是組織中的某一部分，或者獨立的信息系統、特定系統組件和服務。針對檢修公司而言可以是公司級

4、的或部門級（管理部門或作業部門）的、班組級的（作業部下的技術組或班組）。影響風險評價進展的某些因素，包括評價時間、力度、展開幅度和深度，但這些都應與組織(或稱項目)的環境和安全要求相符合。風險評價的優點在于： 1、組織(或稱項目)可以通過詳細的風險評價而對信息安全風險有一個精確的認識，并且準確定義出組織(或稱項目)目前的安全水平和安全需求； 2、評價的結果可用來管理安全變化。當然，風險評價可能是非常耗費資源的過程，包括時間、精力和技術。 常用風險評價方法-格雷厄姆風險評價方法(LEC法)LEC法是一種常用的風險評價方法，可采取計算每一項已辨識出的危險源所帶來的風險。其風險值D由三個主要因素L、

5、E、C的指標值的乘積表示，即D=LEC。    三種主要因素的評價方法為：    L發生事故的可能性大小。事故發生的可能性大小用概率來表示時，絕對不可能發生的事故概率為0，必然發生的事故概率為1，因此人為的將發生事故可能極小的分數定為0.1，必然要發生事故的分數可定為10，介于這兩者之間的情況定為若干中間值，如下表：    E暴露于危險環境中頻繁程度。人員出現在危險環境中的時間越多，發生危險性越大。規定連續出現在危險環境的情況為10，而非常罕見地出現在危險環境中為0.5，介于兩者之間的各種情況規定若干個中

6、間值，如下表：     C事故產生的后果。事故造成人身傷害與財產損失變化范圍很大，所以規定分數值在1100之間。輕微傷害或較小財產損失的分類規定為1，造成人員傷亡較大的可能性規定為100，其他情況的數值在1100之間，如下表： D風險值。DL×E×C，確定D值后關鍵是如何確定風險級別的界限值，而這個界限值并不是長期固定不變的；在不同時期可根據具體情況確定風險級別的界限值，以確定持續改進的措施。如下表：LEC法雖然比較科學，但卻難以確定各種因素的準確數據。確定各種因素的數據時，需要建立在經驗判斷的基礎上。如發生事故的可能性（）和發生事故產生的后果（），對同一工作過程，不同的人員可能得出不同的評價結果。