风险评估即为量化测评某一事件或事物带来的影响或损失的可能程度。从网络安全监管角度来讲,风险评估是对管辖范围内资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估,如:某行业重要信息系统风险评估。
需求分析
下面举个示例解读风险评估需求阶段需要明确哪些关键问题。
示例:M行业下面有A、B、C、D四类机构,请对M行业下重要信息系统做风险评估。
1、评估目标
明确风险评估目标,如:对M行业下属各机构以及整个M行业安全状态进行评估,掌握整体安全态势,识别风险资产,及时预警处置,保障系统安全稳定运行,指导机构安全建设工作。
2、评估原则
确立评估原则:一套标准、得分调节、等级评判、拒绝平均、拒绝累加。
a.一套标准:
采用一套风险评估标准,明确最基础评估对象,如:机构、单位。
b.得分调节:
具备得分调节机制,以系统计算得分为主,提供人工干预机制,既满足客观评价,又支持主观调节。
c.等级评判:
定义风险等级并明确每个等级评判标准,如:高危、中危、低危,每个等级从哪些维度考虑,如何评判。
d.拒绝平均:
拒绝平均主义,若单位风险指数采用“风险资产/总资产”方式评定,对于拥有资产数量少的单位不公平,如:单位A拥有有2个资产,1个资产受损,单位B拥有20个资产,10个资产受损,按照平均主义原则,单位A风险指数等于单位B,实则单位B风险大于单位A。
e.拒绝累加:
如单位风险 指数采用“风险资产累加”方式评定,对于拥有资产数量多且风险资产数量多的单位不公平。推理逻辑同上。
3、评估主体
所谓评估主体,可以理解为“谁来评估”,一般是监管单位或者行业主管单位,示例中:M行业××主管部门。
4、评估客体
评估客体即为“评估对象”,也可以称之为“被评估者”,一般是被监管单位或者某行业下二级单位、机构所拥有的资产。示例中:A、B、C、D机构下的重要信息系统。
5、评估方法
评估方法指的是风险评估模型或者公式,涉及定性评估与定量评估。一般根据评估目标、评估主体、评估客体,并结合行业特色专业风险评估方法论而定,比如:证券行业、水利行业风险评估各有侧重。
6、数据来源
DT时代,数据为王,没有数据一切皆为空谈。我们需要搞清楚数据来源、数据类型、数据内容、数据质量,能否支撑风险评估模型运转。必要时,我们还需要制定统一数据规范。
7、评估周期
了解风险评估周期,日、周、月、季度,结合评估目标,考虑数据情况是否满足预期评估维度。
8、结果应用
评估结果需要应用于哪些场景?领导汇报,总结报告,还是风险预警。进而,考虑后续以什么方式设计,如:大屏可视化、评估报告;与哪些业务模块联动,如:通报处置、公开预警;与哪些通信方式联动,如:APP、邮件。
设计转化
1、指标管理
支撑风险评估的最基础元素为指标,一般涉及:技术指标、管理指标、运营指标。我们通过建立指标管理统一管理与维护的功能,支持指标创建,定义指标名称、类别、属性、适用对象、评估公式与方法等。
2、模型管理
通过建立模型管理对风险评估模型进行统一管理与维护,模型制定者可以根据需要,通过指标、变量、公式符号的组合配置模型。
3、风险评估
风险评估包含3部分,风险概况、风险走势、风险态势。
a.风险概况
风险概况是对行业风险评估结果的呈现。支持定义评估对象、风险类别、评估周期,并关联评估模型,系统自动计算风险评估分数。
b.风险走势
风险走势展示行业风险评估走势情况,支持查询不同评估期、不同风险类别、不同类机构的风险评估结果的变化情况。
c.风险态势
风险态势意在呈现M行业资产分布以及资产安全情况。从宏观视角,侧重于整体安全指数、风险分布情况、风险评估走势、风险评估指标、安全隐患监测等。从微观视角,侧重于单个单位风险情况,如:单位风险指数、同比环比变化、行业排名、历史安全事件等。
4、评估报告
风险评估结果需要以报告形成留存并呈报给领导。一般通过系统预先定义好模板,选择评估数据范围、评估时间周期来生成报告。