策劃方案風險評估

① 什麼是風險評估 風險評估常用方法

風險評估的定義及常用方法如下：

一、風險評估：

風險評估（Risk Assessment） 是指，在風險事件發生之前或之後（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

二、常用方法：

1、風險因素分析法

其一般思路是：調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的後果→風險評價。

2、模糊綜合評價法

3、內部控制評價法

內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。

4、分析性復核法

分析性復核法是注冊會計師對被審計單位主要比率或趨勢進行分析，包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異，以推測會計報表是否存在重要錯報或漏報可能性。

5、定性風險評價法

定性風險評價法是指那些通過觀察、調查與分析，並藉助注冊會計師的經驗、專業標准和判斷等能對審計風險進行定性評估的方法。

6、風險率風險評價法

風險率風險評價法是定量風險評價法中的一種。

三、任務：

1、確定風險評估的主要任務；

2、識別評估對象面臨的各種風險；

3、評估風險概率和可能帶來的負面影響；

4、確定組織承受風險的能力；

5、確定風險消減和控制的優先等級；

6、推薦風險消減對策。

② 風險評估有什麼內容

資質評估：評估對象主要是主辦方和場地管理者，要求主辦方和場地管理者必須具備合法性，具備一定的相關經驗。

管理評估：主要包括相關人員的崗位分配、應急預案和活動方案等。

安保評估：負責活動安保工作的團隊是否專業可靠，人數是否足夠等。

場地評估：主要包括場地可以容納的人數、場地周邊環境、場地設施的安全性等。

設備評估：活動中需要用到的各類設備，比如交通、照明等。

性質評估：主要包括活動的參與人員、組織方式、時間、地點、內容等。

其他評估：節假日、大雨等非常規狀況是否有預案，現場周邊的治安、交通秩序等。

拓展資料：

風險評估（Risk Assessment） 是指，在風險事件發生之前或之後（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

從信息安全的角度來講，風險評估是對信息資產（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬於組織信息安全管理體系策劃的過程。

③ 風險評估的方法有哪些

一、風險評估的准備

風險評估的准備過程是組織進行風險評估的基礎，是整個風險評估過程有效性的保證。組織對自身信息及信息系統進行風險評估是一種戰略性的考慮，其結果將受組織的商業需求及戰略目標、文化、業務流程、安全要求、規模和結構所影響。不同組織對於風險評估過程中的各種子過程可能存在不同的要求，因此在風險評估實施前，組織應：

1．確定風險評估的范圍； 2．確定風險評估的目的，為風險評估的實施提供導向； 3．建立適當的組織結構； 4．建立系統性的風險評估方法；5．獲得最高管理者對風險評估策劃的批准。

二、風險評估的實施

組織應根據策劃的結果，由評估的人員按照相應的職責和程序進行資產評估、威脅評估、脆弱性評估。在考慮已有安全措施的情況下，利用適當的方法與工具確定威脅利用資產脆弱性發生安全事件的可能性，並結合資產的安全屬性受到破壞後的影響來得出資產的安全風險。

風險計算

我們以下述函數進行表示：

R= f(A,V,T)=f(Ia,L(Va,T))

其中：R表示風險；A表示資產；V表示脆弱性；T表示威脅； Ia表示資產發生安全事件後對組織業務的影響(也稱為資產的重要程度); Va表示某一資產本身的脆弱性，L表示威脅利用資產的脆弱性造成安全事件發生的可能性。
具體而言分為以下幾個步驟：

1．首先對資產的弱點進行排序；

2．針對每一個弱點，確定可能利用此弱點造成安全事件的威脅的類型；

3．給確定的威脅賦值；

4．將威脅值與脆弱點值相乘，得出安全事件發生的可能性；即：安全事件發生可能性=L（威脅可能性，脆弱點嚴重性）；

5．根據資產的重要程度以及安全事件發生的可能性計算風險值，即：風險值=R（資產重要程度，安全事件發生的可能性）。

四、風險識別
風險識別包括三個部分：分析風險來源；識別區域風險；風險關聯分析。

1．分析風險來源
經過資產、威脅、脆弱性的計算後形成一個風險列表，需要對該列表的風險進行分類，並在分類的基礎上進行風險合並。在對風險進行分類合並時，首先需要考慮風險所發生的位置，然後考慮風險的來源。風險的來源可以從威脅、脆弱性和安全管理三個方面進行。

風險發生的位置可以從資產所在的安全域或從信息安全發生的層次進行劃分。資產所在的安全域指具有相同安全屬性的某一物理區域或邏輯區域，該區域和其他安全區域具有明顯的邊界；信息安全發生的層次指物理層安全、網路層安全、操作系統層安全、應用層安全、數據層安全。風險的來源從威脅角度進行合並，可以從威脅的來源，發生的途經，影響的大小角度進行劃分整理。風險的來源從脆弱性角度進行合並，從大的方面有兩類，一類是IT技術類脆弱性，另一類是管理類脆弱性。安全管理類脆弱性可以從設計、開發、驗收、運行、維護、人員、業務持續性管理等方面進行分析。

④ 策劃書風險怎麼寫

方案內容就風險復這部分，制包括：
1、政策風險——國家或地方政策出台相關的政策對某個項目的實施帶來的風險
2、資金風險——資金不足，影響項目有效的正常運作
3、組織風險——管理層或主要負責人變動，影響項目的實際運作
4、市場風險——競爭對手帶來的風險，導致項目利潤率大大降低
等等，當然還有一些意外風險，比如地震。風險說明主要針對可控性的來寫。
針對上面的風險進行預估，針對每一類風險提出1-3套相關的解決預備方案，
有備無患，風險也就在控制之中了。

⑤ 組織策劃危險源辨識和風險評價程序應考慮哪些方面

應首先考慮消除或減少危險源，其次考慮採取措 施降低風險，最後考慮個體保護。
確定新增重大安全風險，制定相應的控制措 施：
1) 相關法律法規變化時；
2) 在工作程序將發生變化時；
3) 開展新的活動之前（如新建工程等） ；
4) 採用新設備、設施前或設備技術改造後投入使用前；
5) 採用新的物質；
6) 發現新的危險源時。

⑥ 創業計劃書中，項目風險評估怎麼寫

首先需要了解在實施過程中我們可能碰到哪些風險。按照一般意義，我們常常所說的風險分為兩大類，一種是不可預知的，一種是可預知的。既然是不可預測的風險，有預防的想法，恐怕也是無從做起，只能是在風險到來的時候直接對問題做出反應。

然後根據項目風險評估方法，評估創業項目的風險，將評估結果寫下來即可。

項目風險評估一般有定性和定量兩種方法。在項目管理實踐中，將專家和項目管理人員的估計與有限數據相結合，成為項目風險評估中運用較多的方法。在項目風險評估中，採用何種方法，取決於項目風險的來源、發生的概率、風險的影響程度和管理者對風險的態度。

(一)定性風險評估

1、歷史資料法

在項目情況基本相同的條件下，通過觀察各個潛在的風險在長時期內已經發生的次數，就能估計每一可能事件發生的概率，這種估計是基於每一事件過去已經發生的頻率。

2、理論概率分布法

當項目的管理者沒有足夠的歷史信息和資料來確定項目風險事件的概率時，可根據理論上的某些概率分布來補充或修正，從而建立風險的概率分布圖。

常用的風險概率分布是正態分布，正態分布可以描述許多風險的概率分布，如交通事故、財產損失、加工製造的偏差等。除此之外，在風險評估中常用的理論概率分布還有離散分布、等概率分布、階梯形分布、三角形分布和對數正態分布等。

3、主觀概率

由於項目的一次性和獨特性，不同項目的風險往往存在差別。因此，項目管理者在很多情況下要根據自己的經驗，去測度項目風險事件發生的概率或概率分布，這樣得到的項目風險概率被稱為主觀概率。主觀概率的大小常常根據人們長期積累的經驗、對項目活動及其有關風險事件的了解而估計。

4、風險事件後果的估計

風險事故造成的損失大小要從三個方面來衡量：風險損失的性質、風險損失范圍的大小和風險損失的時間分布。

(二)定量風險評估

定量風險評估包括訪談法、盈虧平衡分析、敏感性分析、決策樹分析和非肯定型決策分析。

(6)策劃方案風險評估擴展閱讀

要讓所有的事情都去掉主觀性是很困難的，但是實踐和經驗可以提高項目經理預測風險的概率和影響的能力。通常的風險評估過程都由以下六個基本步驟構成。

(1)評估所有的方法。所有不同的方法都應該考慮到，所有影響風險的因素都必須考慮。頭腦風暴法或其他的風險識別方法應該使用得透徹，所有可能影響風險發生的因素都應該考慮到。

(2)考慮風險態度。決策者的風險態度是需要重點考慮的。不同的人會用不同的態度估計風險，並且使用同樣的數據做出不同的決定。一些決策者，與其他的決策者相比較，或多或少是厭惡風險的，並且會根據給定的數據，對風險的發生和影響做出不同的主觀評估。

(3)考慮風險的特徵。風險是否已經識別、它們是否可控和它們的影響將會怎樣，這些都是需要考慮的。控制已經識別(例如內部可控的)的風險而不是其他的(例如外部不可控的)風險，這是可能的。所有可能的風險特徵都需要識別。

(4)建立測量系統。風險需要用定量或定性(或綜合的)方法測量和評估。一些方法是使用已經建立的模型，這些模型輸入了風險的特徵和風險面臨的情況，這樣，根據歷史經驗就可以做出預測。

(5)解釋結果。測量中生產的數據需要解釋。這種解釋同樣也有定性的或定量的。測量過程的結果給預測和可能的結果提供了一種暗示，但是這些仍需要解釋。兩個不同的解釋人員可能用的是同樣的數據和結果，但他們所做的評價卻不相同。解釋可能會根據觀察到的數據用外推法對未來的結果做出預測。

(6)做決策。整個過程的最後階段需要決定哪些風險會保留，哪些風險要轉移出去。風險是否保留取決於組織的實際情況和決策者的態度。

⑦ 什麼叫風險評估

風險評估是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。
作為風險管理的基礎，風險評估（Risk Assessment）是組織確定信息安全需求的一個重要途徑，屬於組織信息安全管理體系策劃的過程。風險評估的主要任務包括：
識別組織面臨的各種風險
評估風險概率和可能帶來的負面影響
確定組織承受風險的能力
確定風險消減和控制的優先等級
推薦風險消減對策
在風險評估過程中，有幾個關鍵的問題需要考慮。首先，要確定保護的對象（或者資產）是什麼？它的直接和間接價值如何？其次，資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？第三，資產中存在哪裡弱點可能會被威脅所利用？利用的容易程度又如何？第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？最後，組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度？
解決以上問題的過程，就是風險評估的過程。
這里需要注意，在談到風險管理的時候，人們經常提到的還有風險分析（Risk Analysis）這個概念，實際上，對於信息安全風險管理來說，風險分析和風險評估基本上是同義的。當然，如果細究起來，風險分析應該是處理風險的總體戰略（它包括風險評估和風險管理兩個部分，此處的風險管理相當於本文的風險消減和風險控制的過程），風險評估只是風險分析過程中的一項工作，即對可識別的風險進行評估，以確定其可能造成的危害。
進行風險評估時，有幾個對應關系必須考慮：
每項資產可能面臨多種威脅
威脅源（威脅代理）可能不止一個
每種威脅可能利用一個或多個弱點
更詳細的內容，我們會在後面逐步展開。