风险评估是指在风险事件发生之前，对该事件会造成的影响和损失的可能性进行评估的活动。风险评估可以针对个人的风险、企业的风险、事件的风险、外部环境的风险等等，不同的风险评估虽然评估对象不同，但基本的方法论都是类似的。即风险评估就是对评估对象所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性。

那么，风险评估需要开展哪些工作呢？

通常，风险评估包括风险要素识别、风险分析与风险处置建议三个步骤。其中，风险要素识别工作主要是对评估活动中的各类关键要素资产、威胁、脆弱性等进行识别与赋值。资产识别一般包括资产分类、资产调查和资产赋值。威胁识别一般包括威胁分类、威胁调查和威胁分析。脆弱性可从技术和管理两个方面进行。风险分析是对业务相关的资产、威胁、脆弱性及其各项属性的关联分析，综合进行风险分析和计算。风险处置建议主要针对评估出的风险，提出相应的处置建议。

为了更好地进行风险分析，领域专家建立了风险分析模型（如下图），将资产、威胁、脆弱性三个基本要素及每个要素相关属性，进行关联，并建立各要素之间的相互作用机制关系。

基于风险分析模型，可以进行定性计算和定量计算。定性计算是将风险的各要素资产、威胁、脆弱性等的相关属性进行量化（或等级化）赋值，然后选用具体的计算方法（如相乘法或矩阵法）进行风险计算；定量计算是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法。由于定量计算方法在实际工作中可操作性较差，一般风险计算多采用定性计算方法。风险的定性计算方法实质反映的是被评估主体面临风险大小的排列排序，确定风险的性质（几乎无、无关紧要、可接受、较严重、非常严重等），而不是风险计算值本身的准确性。

通常，利用计算得出的风险值可进行风险等级划分，风险值越高，风险等级越高。这个等级划分的过程就是风险分析与评价过程。风险等级一般可划分为五级：很高、高、中等、低、很低，也可根据项目实际情况确定风险的等级数，如划分为高、中、低三级。

风险分析结束后，要编制风险评估报告，报告中应对计算分析出的风险给予详细说明，主要包括：风险对被评估主体的影响范围、影响程度、依据的法规和证据及风险评价结论等内容。

风险评估的最后一个环节是风险处置建议，可以编写《风险处置建议书》 对评估中发现的问题给予有针对性的风险处置建议。

下面简单讨论一下涉密集成保密风险评估与管理。我们知道，在涉密信息系统集成保密标准中，对保密风险评估与管理在范围和频次上有着明确的要求。即，资质单位每年要开展一次针对业务流程、相关人员、业务场所等全要素的保密风险评估，对发现的保密风险隐患进行分析和评估，还要制定防控措施，并建立相应的监督检查机制，以期达到全面降低保密风险的目的。

对于涉密集成资质单位或拟申请资质的单位，保密风险评估与管理是一项必须做好的重要工作。具体实施内容如下。

首先，在组织上要成立保密风险评估小组，负责公司保密风险评估工作，并由保密管理办公室监督检查评估工作。

其次，在制度保障上，要建立健全相关制度，将防控措施融入到管理制度和业务工作流程当中，在日常监督、定期自查过程中，使保密风险评估与管理活动有章可循。

第三，严格遵守标准，制定保密风险评估方案，并严格按照方案进行风险评估与管理。

第四，风险评估活动过程中要形成符合规范的风险评估报告。

第五，风险评估活动结束后，资质单位要根据风险评估报告的风险处置建议进行实施，并对风险应对预案的执行情况进行实时监控和反馈，从而达到提高抗风险能力和保密管理能力的目的。

作者：李志刚