风险评估：修订间差异

以互动方式浏览历史

←上一版本下一版本→

删除的内容添加的内容

可视化wikitext

行内

2021年12月30日 (四) 08:44的版本

风险评估（英語：Risk Assessment），是风险管理的一个重要过程。风险评估包括了以下二個工作：

識別及分析對人員、財產或環境可能有潛在危害的事件（危害分析（英语：hazard analysis）)
在考慮影響因素的情形下，進行「基於風險分析的風險容忍度」的判斷（也就是風險評估）^[1]^[2]。

风险管理国际标准ISO 31000（英语：ISO 31000）定义风险评估的过程为：风险评估是风险识别、风险分析及风险评价的全过程。在ISO 3101“风险管理——风险评估技术”中，明确给出了风险评估过程需要解决的5个基本问题：

现状是什么？可能发生什么（事件）？为什么发生？
产生的后果是什么？对目标的影响有多大？
这些后果发生的可能性有多大？
是否存在可以减轻风险后果、降低风险可能性的因素？
风险等级是否是可容忍或可接受的？是否需要进一步应对？

而表示风险的方法则为：经常用一个事件的后果（包括情况变化）和对应的发生可能性这二者的结合来表示风险。风险的定义已经发生了颠覆性的改造，摆脱了传统管理思维中定义风险为纯损失的模式，从而直接改变风险管理的方式：降低损失，最大化机遇。

在所有类型的复杂系统工程都利用先进的风险评估系统来增加工程的安全性和可靠性，尤其在涉及到生活，环境或机器运转领域。核工业、航天、石油、铁路、军工等行业使用风险评估有着悠久的历史。此外，医疗、医院和食品工业控制风险和进行风险评估的应用在持续推进。因为财务决策、环境、生态或公共健康风险的不同，在不同行业间和风险评估方法也不同。

應用領域

許多的領域都會應用到风险评估，特別是一些有特別法定義務，行為準則和標準化程序的領域。以下是一些領域下的應用。

审计

审计中的风险评估是指审计师为了了解被审计者及其环境而实施的审计程序。审计师根据这些程序获取的审计证据评估重大错报风险。

網路安全（cyber security）

威脅和風險評估（Threat and Risk Assessment）簡稱TRA，是风险管理上有關网络攻击的評估。威脅和風險評估會識別網路風險、評估風險嚴重程度，也會有建議的活動，使風險降到可以接受的水準。

在進行威脅和風險評估時，有不同的方法論（協調TRA方法論^[3]），其中會利用以下的元素：^[4]^[5]^[6]識別資產（需要保護的事物）、識別和評估需識別資產的威脅和弱點、確定漏洞的可能被利用的程度、確認漏洞相關風險的程度（如果資產損壞或丟失，會有什麼影響）、推薦風險緩解計劃。

相關條目

可接受的損失（英语：Acceptable loss）
福利不足（英语：Benefit shortfall）
控制自我評估（英语：Control self-assessment）
成本超支（英语：Cost overrun）
數位延續性（英语：Digital continuity）
謹慎責任
Edwards v National Coal Board（英语：Edwards v National Coal Board）
極端風險
环境影响评价
洪水風險評估（英语：Flood risk assessment）
696表格（英语：Form 696）
全球災難危機
危害（英语：Hazard）
危害分析（英语：Hazard analysis）
危害分析重要管制點（HACCP）：有關食物的風險管理
健康影響評估（英语：Health impact assessment）
水平掃描（英语：Horizon scanning）
信息保障
審計相關條目目錄（英语：Index of auditing-related articles）
ISO 28000（英语：ISO 28000）
ISO 31000（英语：ISO 31000）
ISSOW（英语：ISSOW）
風險評估中的網路理論（英语：Network theory in risk assessment）
職業接觸帶（英语：Occupational exposure banding）
乐观偏误
PIMEX（英语：PIMEX）
機率性風險評估（英语：Probabilistic risk assessment）
Probit模型（英语：Probit model）
專案風險管理
參考分類預估（英语：Reference class forecasting）
可靠度工程
風險
定性风险分析
風險基準的審計（英语：Risk-based auditing）
風險管理工具（英语：Risk management tools）
風險矩陣（英语：Risk matrix）
安全工程
統計風險（英语：Statistical risk）
規劃謬誤

^ Rausand M. Chapter 1: Introduction. Risk Assessment: Theory, Methods, and Applications. John Wiley & Sons. 2013: 1–28. ISBN 9780470637647.
^ Manuele FA. Chapter 1: Risk Assessments: Their Significance and the Role of the Safety Professional. Popov G, Lyon BK, Hollcraft B (编). Risk Assessment: A Practical Guide to Assessing Operational Risks. John Wiley & Sons. 2016: 1–22. ISBN 9781118911044.
^ Security, Canadian Centre for Cyber. Canadian Centre for Cyber Security. Canadian Centre for Cyber Security. 2018-08-15 [2021-08-09].
^ Baingo, Darek, Masys, Anthony J. , 编, Threat Risk Assessment (TRA) for Physical Security, Sensemaking for Security, Advanced Sciences and Technologies for Security Applications (Cham: Springer International Publishing), 2021: 243–270 [2021-08-09], ISBN 978-3-030-71998-2, doi:10.1007/978-3-030-71998-2_14 （英语）
^ An Overview of Threat and Risk Assessment | SANS Institute. www.sans.org. [2021-08-09].
^ Secretariat, Treasury Board of Canada. Rescinded [2019-06-28] - Security Organization and Administration Standard. www.tbs-sct.gc.ca. 2006-03-06 [2021-08-09].

[RausandRisk13-1] Rausand M. Chapter 1: Introduction. Risk Assessment: Theory, Methods, and Applications. John Wiley & Sons. 2013: 1–28. ISBN 9780470637647.

[PopovRisk16-2] Manuele FA. Chapter 1: Risk Assessments: Their Significance and the Role of the Safety Professional. Popov G, Lyon BK, Hollcraft B (编). Risk Assessment: A Practical Guide to Assessing Operational Risks. John Wiley & Sons. 2016: 1–22. ISBN 9781118911044.

[3] Security, Canadian Centre for Cyber. Canadian Centre for Cyber Security. Canadian Centre for Cyber Security. 2018-08-15 [2021-08-09].

[4] Baingo, Darek, Masys, Anthony J. , 编, Threat Risk Assessment (TRA) for Physical Security, Sensemaking for Security, Advanced Sciences and Technologies for Security Applications (Cham: Springer International Publishing), 2021: 243–270 [2021-08-09], ISBN 978-3-030-71998-2, doi:10.1007/978-3-030-71998-2_14 （英语）

[5] An Overview of Threat and Risk Assessment | SANS Institute. www.sans.org. [2021-08-09].

[6] Secretariat, Treasury Board of Canada. Rescinded [2019-06-28] - Security Organization and Administration Standard. www.tbs-sct.gc.ca. 2006-03-06 [2021-08-09].

[1]

[2]

[3]

[4]

[5]

[6]

@@ 第20行： / 第20行： @@
 在所有类型的复杂系统工程都利用先进的风险评估系统来增加工程的安全性和可靠性，尤其在涉及到生活，环境或机器运转领域。核工业、航天、石油、铁路、军工等行业使用风险评估有着悠久的历史。此外，医疗、医院和食品工业控制风险和进行风险评估的应用在持续推进。因为财务决策、环境、生态或公共健康风险的不同，在不同行业间和风险评估方法也不同。
 ==應用領域==
-許多的領域都會應用到风险评估，特別是一些有特別法定義務，行為準則和標準化程序的領域。以下是一些相關領域下的應用。
+許多的領域都會應用到风险评估，特別是一些有特別法定義務，行為準則和標準化程序的領域。以下是一些領域下的應用。
 ===审计===
@@ 第26行： / 第26行： @@
 [[审计]]中的风险评估是指审计师为了了解被审计者及其环境而实施的审计程序。[[审计师]]根据这些程序获取的审计证据评估重大错报风险。
+=== 網路安全（cyber security） ===
+{{main|電腦安全}}
+威脅和風險評估（Threat and Risk Assessment）簡稱TRA，是风险管理上有關[[网络攻击]]的評估。威脅和風險評估會識別網路風險、評估風險嚴重程度，也會有建議的活動，使風險降到可以接受的水準。
+在進行威脅和風險評估時，有不同的方法論（協調TRA方法論<ref>{{Cite web|last=Security|first=Canadian Centre for Cyber|date=2018-08-15|title=Canadian Centre for Cyber Security|url=https://cyber.gc.ca/en/guidance/harmonized-tra-methodology-tra-1|access-date=2021-08-09|website=Canadian Centre for Cyber Security}}</ref>），其中會利用以下的元素：<ref>{{Citation|last=Baingo|first=Darek|title=Threat Risk Assessment (TRA) for Physical Security|date=2021|url=https://doi.org/10.1007/978-3-030-71998-2_14|work=Sensemaking for Security|pages=243–270|editor-last=Masys|editor-first=Anthony J.|series=Advanced Sciences and Technologies for Security Applications|place=Cham|publisher=Springer International Publishing|language=en|doi=10.1007/978-3-030-71998-2_14|isbn=978-3-030-71998-2|access-date=2021-08-09}}</ref><ref>{{Cite web|title=An Overview of Threat and Risk Assessment {{!}} SANS Institute|url=https://www.sans.org/white-papers/76/|access-date=2021-08-09|website=www.sans.org}}</ref><ref>{{Cite web|last=Secretariat|first=Treasury Board of Canada|date=2006-03-06|title=Rescinded [2019-06-28] - Security Organization and Administration Standard|url=https://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=12333|access-date=2021-08-09|website=www.tbs-sct.gc.ca}}</ref>識別資產（需要保護的事物）、識別和評估需識別資產的威脅和弱點、確定漏洞的可能被利用的程度、確認漏洞相關風險的程度（如果資產損壞或丟失，會有什麼影響）、推薦風險緩解計劃。
 == 相關條目 ==
 {{refbegin|2}}