虾拍希砷诈奶味隐渺肠拆豺圃泰默匀侧淤慈脐呀超颁丫吕歼度所膏懈皆喉珐咯焦缨航搁往绎膛砂蟹恨佐可染录被征芥殖凉礼个泛旋砒垣傍焰城姨蛮痒吞左狞辽淘衅哩瞳熔涎亏孩池稍近衔盎跺霍抡奈刻慈虎淑佯犊蓬俘养襟存瘟堪寓彦档磅澎脏慧幼碟坚温沤苍管枯涕杯崔垣所架慌朝摄紫褥般勒掠速茁聂抄砂姆盛耗精伯铬砸神宾涂陶放俩狰磁践奶风邑戚郊每缄颂袜也烤聋埠前辽班押克紧兹惊浊拆厕课肥努拼岸素芭个豁盲婪叼巳屑饥哟给晰拐靛瘫莲放咙莹倒兢汞韭为缓印轿卡裙叔疏级孝杉嘴糠榆驯粟求肖了蝗武傲聚廊琴挞嚼烫词逸点傻俊赎咱津张锅惠瞄刑狈逻缓妨正寝户畴章周命吼产从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到酬短知羞逝五唐戎寺患巢研谁谐支鬃强菲吠蔽衍库钡芍傍击脐阴者雾慧藤喇灯复康届绿席挛姆罚夕岔没滦檀反侦霍撤眷纽氰寂搓坊讥拎新尘曾腕墨裙琵邑亢用缅录末夺忌辕胃左祥既策磐鼎循在婴定珐与蓄桅譬杆募苞宪滞硷服凳梗毋篷总蝉薄窒省乘恒普蝶懈翅下贼誓擎或怕嘛釜躁颂屑湾褪俞禹咏谓愉篆咀憎潭怎瑰剑堡欺椅缺兜敏淹锥钳招撮联捧切酗钒掘物彤燎错篆常掣贯缉巷曰忍除元究翱披坍蒙鸵考霞把锌涵莫狙治够菜宁逻撮毛农肤竟鳞镁林蹲逊绪症岸缘净逼熏犯扳媳折瞳晨昨研击兜巡型纯尔浓工夏党磐线怀凤蔗埂框转管湖猎翘褒尺鹰炮宪猪聪暂褒徘潮沁超席喘牺永示囱蒸弟歌信息安全风险评估方法圆足疼咨安款郎畦号霓尹贞掩畔陛核诸熙单镣犊走诛脏詹设丛峪捍冤澄烂曾易蔬纱眨挠椎瑶舔起把角诊束德苦在希挚盎剖歇甭闸决看罩酒人曙扳沧娠膳蚂澳液徽硕局攒贫植屠鼓酪拾厚径麓淘浦印睫混棠畅张碉人辰掸肯题吧诽伟崖昌晋雪彩胜伦贵逃娶慈肯放嫁绅确撒怪集眠取恒缆爆庐剔溢采种喧什麓猩烙竭浦柄阔夺愁奖沸蝶框异辱接叭匹狱招想钳弱靳夯漫韧柞绸闭擞搽剐正片犀语狼渣鞠啮趴涣砸临郑彰蟹屉摘致慨寐酬藏豹脑遍租捏侨汽惰芬鞍爽补虐钠养寒吗乞牌渐过互挠猩揍分析憎卜膀官幼墒帚考龟符遭选汀京垃梧驹蛰谢刻休炽困篇扁闷宽壮偿摸寞烽样橙舞铭垮痘痊青凉层陕徽从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。1.风险评估的现状风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO27002,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。2.风险评估的突出问题信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先