風險評估

風險評估（英語：Risk Assessment），是風險管理的一個重要過程。風險評估包括了以下二個工作：

識別及分析對人員、財產或環境可能有潛在危害的事件（危害分析（英語：hazard analysis））
在考慮影響因素的情形下，進行「基於風險分析的風險容忍度」的判斷（也就是風險評估）^[1]^[2]。

風險管理國際標準ISO 31000（英語：ISO 31000）定義風險評估的過程為：風險評估是風險識別、風險分析及風險評價的全過程。在ISO 3101「風險管理——風險評估技術」中，明確給出了風險評估過程需要解決的5個基本問題：

現狀是什麼？可能發生什麼（事件）？為什麼發生？
產生的後果是什麼？對目標的影響有多大？
這些後果發生的可能性有多大？
是否存在可以減輕風險後果、降低風險可能性的因素？
風險等級是否是可容忍或可接受的？是否需要進一步應對？

而表示風險的方法則為：經常用一個事件的後果（包括情況變化）和對應的發生可能性這二者的結合來表示風險。風險的定義已經發生了顛覆性的改造，擺脫了傳統管理思維中定義風險為純損失的模式，從而直接改變風險管理的方式：降低損失，最大化機遇。

應用領域[編輯]

在所有類型的複雜系統工程都利用先進的風險評估系統來增加工程的安全性和可靠性，尤其在涉及到生活，環境或機器運轉領域。核工業、航天、石油、鐵路、軍工等行業使用風險評估有着悠久的歷史。此外，醫療、醫院和食品工業控制風險和進行風險評估的應用在持續推進。因為財務決策、環境、生態或公共健康風險的不同，在不同行業間和風險評估方法也不同。

審計[編輯]

審計中的風險評估是指審計師為了了解被審計者及其環境而實施的審計程序。審計師根據這些程序獲取的審計證據評估重大錯報風險。

網路安全（cyber security）[編輯]

威脅和風險評估（Threat and Risk Assessment）簡稱TRA，是風險管理上有關網絡攻擊的評估。威脅和風險評估會識別網路風險、評估風險嚴重程度，也會有建議的活動，使風險降到可以接受的水準。

在進行威脅和風險評估時，有不同的方法論（協調TRA方法論^[3]），其中會利用以下的元素：^[4]^[5]^[6]識別資產（需要保護的事物）、識別和評估需識別資產的威脅和弱點、確定漏洞的可能被利用的程度、確認漏洞相關風險的程度（如果資產損壞或丟失，會有什麼影響）、推薦風險緩解計劃。

參考資料[編輯]

^ Rausand M. Chapter 1: Introduction. Risk Assessment: Theory, Methods, and Applications. John Wiley & Sons. 2013: 1–28 [2021-12-30]. ISBN 9780470637647. （原始內容存檔於2021-12-30）.
^ Manuele FA. Chapter 1: Risk Assessments: Their Significance and the Role of the Safety Professional. Popov G, Lyon BK, Hollcraft B (編). Risk Assessment: A Practical Guide to Assessing Operational Risks. John Wiley & Sons. 2016: 1–22 [2021-12-30]. ISBN 9781118911044. （原始內容存檔於2021-12-30）.
^ Security, Canadian Centre for Cyber. Canadian Centre for Cyber Security. Canadian Centre for Cyber Security. 2018-08-15 [2021-08-09]. （原始內容存檔於2021-12-30）.
^ Baingo, Darek, Masys, Anthony J. , 編, Threat Risk Assessment (TRA) for Physical Security, Sensemaking for Security, Advanced Sciences and Technologies for Security Applications (Cham: Springer International Publishing), 2021: 243–270 [2021-08-09], ISBN 978-3-030-71998-2, doi:10.1007/978-3-030-71998-2_14 （英語）
^ An Overview of Threat and Risk Assessment | SANS Institute. www.sans.org. [2021-08-09]. （原始內容存檔於2021-12-30）.
^ Secretariat, Treasury Board of Canada. Rescinded [2019-06-28] - Security Organization and Administration Standard. www.tbs-sct.gc.ca. 2006-03-06 [2021-08-09]. （原始內容存檔於2022-01-20）.

[RausandRisk13-1] Rausand M. Chapter 1: Introduction. Risk Assessment: Theory, Methods, and Applications. John Wiley & Sons. 2013: 1–28 [2021-12-30]. ISBN 9780470637647. （原始內容存檔於2021-12-30）.

[PopovRisk16-2] Manuele FA. Chapter 1: Risk Assessments: Their Significance and the Role of the Safety Professional. Popov G, Lyon BK, Hollcraft B (編). Risk Assessment: A Practical Guide to Assessing Operational Risks. John Wiley & Sons. 2016: 1–22 [2021-12-30]. ISBN 9781118911044. （原始內容存檔於2021-12-30）.

[3] Security, Canadian Centre for Cyber. Canadian Centre for Cyber Security. Canadian Centre for Cyber Security. 2018-08-15 [2021-08-09]. （原始內容存檔於2021-12-30）.

[4] Baingo, Darek, Masys, Anthony J. , 編, Threat Risk Assessment (TRA) for Physical Security, Sensemaking for Security, Advanced Sciences and Technologies for Security Applications (Cham: Springer International Publishing), 2021: 243–270 [2021-08-09], ISBN 978-3-030-71998-2, doi:10.1007/978-3-030-71998-2_14 （英語）

[5] An Overview of Threat and Risk Assessment | SANS Institute. www.sans.org. [2021-08-09]. （原始內容存檔於2021-12-30）.

[6] Secretariat, Treasury Board of Canada. Rescinded [2019-06-28] - Security Organization and Administration Standard. www.tbs-sct.gc.ca. 2006-03-06 [2021-08-09]. （原始內容存檔於2022-01-20）.

[1]

[2]

[3]

[4]

[5]

[6]

應用領域[編輯]

審計[編輯]

網路安全（cyber security）[編輯]

相關條目[編輯]

參考資料[編輯]