4.1 风险识别概述
4.1.1 风险识别的定义
1.风险识别的定义
风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果等,生成一个全面的风险列表。进行风险识别时要掌握相关的和最新的信息,必要时需包括适用的背景信息。除了识别可能发生的风险事件,还要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论风险事件的风险源是否在组织的控制之下,或其原因是否已知,都应对其进行识别。此外,要关注已经发生的风险事件,特别是新近发生的风险事件。
风险识别的目的是决定可能发生什么会造成潜在损失,并深入了解损失可能是如何、在何地、为什么发生?经过识别阶段采集到的上述信息,将被用于风险分析阶段的输入数据。识别阶段获得的原始信息越翔实,就越能保证风险分析结果的客观性和相应建议的针对性,被评估组织就能从评估活动中获得更大的安全收益。所以我们说,风险识别的目的在于揭示组织面临的风险及其属性,指导组织界定风险管理的对象、范围,从而减少风险发生的因素;进一步构建组织的风险管理机制,促进组织执行和实施、实现其发展目标。
2.风险识别的内容
组织应识别风险,不管其来源是否在其控制之下。应该考虑到可能有不止一种类型的结果,这可能会导致各种有形或无形的后果。
组织可以使用一系列技术来识别可能影响一个或多个目标的不确定性。应考虑以下因素,以及这些因素之间的关系:
● 有形和无形的风险来源;
● 原因和事件;
● 威胁和机会;
● 脆弱性和能力;
● 外部和内部环境的变化;
● 正在出现的风险指标;
● 资产和资源的性质和价值;
● 后果及其对目标的影响;
● 信息的知识和可靠性的限制;
● 时间相关因素;
● 参与者的偏见,假设和信念。
通过刚才的分析,根据GB/T 20984,将风险识别分为五个部分:
(1)识别发展战略和业务,并对业务重要性进行赋值。依据环境建立输出的文档,选择适当的识别方法,对风险管理对象的发展战略进行识别,包括组织的属性及职能定位、发展目标、业务规划、竞争关系,形成发展战略清单。同时识别出实现其发展战略相关业务,包括对业务的属性、定位、完整性和关联性识别,确定业务的重要性级别,形成业务重要性清单。
(2)识别需要保护的资产并赋值。依据环境建立输出的文档,选择适当的资产识别方法,识别对组织使命具有关键和重要作用的需要评估的资产,并确定资产的重要性级别,形成需要保护的资产清单。
(3)识别面临的威胁并赋值。依据环境建立输出的文档,参照威胁库,选择适当的威胁识别方法,识别组织的信息资产面临的威胁,依据威胁属性包括威胁的来源、种类、动机、时机和频率等确定威胁的属性等级,形成面临的威胁列表。威胁库是有关威胁的外部共享数据和内部历史数据的汇集。
(4)识别存在的脆弱性并赋值。依据环境建立输出的文档,参照漏洞库,选择适当的脆弱性识别方法,识别组织在物理、网络、系统、中间件、应用系统、管理上存在的脆弱性,并确定脆弱性的属性等级,可参考的脆弱性属性包括脆弱性被利用程度、脆弱性严重程度等,形成存在的脆弱性列表。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。
(5)确认已有的安全措施。依据环境建立输出的文档,即风险管理对象的描述报告、风险管理对象的分析报告和风险管理对象的安全要求报告,确认已有的安全措施,包括技术层面(即物理平台、系统平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策,形成已有安全措施列表。
通过这五个部分的识别,将会建立一个基于风险事件的全面风险清单,为风险分析和评价提供输入,具体这五大部分的识别将在后续章节详细介绍。
4.1.2 风险识别的原则
风险识别应该遵循以下原则:
(1)全面性:为了对风险进行识别,在明确识别范围的前提下,应尽可能全面地识别风险。全面考察、了解各种风险事件存在和可能发生的概率,以及损失的严重程度、风险因素及因风险的出现而导致的其他问题。损失发生的概率及其后果的严重程度,直接影响人们对损失危害的衡量,最终决定风险政策措施的选择和管理效果的优劣。因此,必须全面了解各种风险的存在和发生及其将引起的损失后果的详细情况,以便及时而清楚地为决策者提供比较完备的决策信息。
(2)系统化:风险识别是风险管理的前提和基础,识别的准确与否在很大程度上决定风险管理效果的好坏。为了保证最初分析的准确程度,就应该进行全面系统的调查分析,将风险进行综合归类,揭示其性质、类型及后果。如果没有科学系统的方法来识别和衡量,就不可能对风险有一个总体的综合认识,就难以确定哪种风险是可能发生的,也不可能较合理地选择控制和处置的方法。
(3)客观性:对风险进行识别的过程,也是对风险管理对象的状况及其所处环境进行量化核算的具体过程。风险的识别和衡量要以严格的数学理论作为分析工具,在普遍估计的基础上,要尽量客观,避免主观因素的干扰,采用定性和定量相结合的方法,尽可能地进行统计和计算,以得出比较科学合理的分析结果。
(4)符合性:风险识别的目的在于为风险管理提供前提和决策依据,保证风险管理对象减少风险损失,获得安全保障。因此,在风险识别和衡量的同时,应综合进行考察,同时风险具体的辨识方法要结合组织的实际情况和管理要求,明确目标、界定重点、融入组织的管理过程中。
4.1.3 风险识别的方法工具
在具体识别风险时,需要综合利用一些专门技术和工具,以保证高效率地识别风险并不发生遗漏。风险识别的方法和工具不是万能的,它更多的是一种手段。风险库中风险事件的质量高低更多取决于人们的风险意识和对风险的认识能力。但是一定的方法工具将有助于提高风险识别的全面性和系统性。
一般的风险识别方法包括德尔菲法、头脑风暴法、检查表法、SWOT 分析法、检查表法、分解分析法和失误树分析法等。
(1)德尔菲法:德尔菲法是众多专家就某一专题达成一致意见的一种方法。风险管理专家以匿名方式参与此项活动。主持人用问卷征询有关重要风险的见解,问卷的答案交回并汇总后,随即在专家之中传阅,请他们进一步发表意见。此项过程进行若干轮之后,就不难得出关于主要风险的一致看法。德尔菲法有助于减少数据中的偏差,并防止任何个人对结果不适当地产生过大的影响。
(2)头脑风暴法:头脑风暴法的目的是取得一份综合的风险清单。头脑风暴法通常由项目团队主持,也可邀请多学科专家来实施此项技术。在一位主持人的推动下,与会人员集思广益。可以以风险类别作为基础框架,然后再对风险进行分门别类,并进一步对风险的定义加以明确。
(3)SWOT分析法:SWOT 分析法是一种环境分析方法。通过识别风险管理对象的优势(Strength)、劣势(Weakness)、机会(Opportunity)和挑战(Threat),从多角度对风险进行定性识别。
(4)检查表法:检查表是管理中用来记录和整理数据的常用工具。在用它进行风险识别时,将风险管理对象可能发生的许多潜在风险列于一个表上,供识别人员进行检查核对,用来判别某管理对象是否存在表中所列或类似的风险。检查表中所列都是历史上类似风险管理对象曾发生过的风险,是风险管理经验的结晶,对风险管理人员具有开阔思路、启发联想、抛砖引玉的作用。
(5)分解分析法:分解分析法指将一复杂的事物分解为多个比较简单的事物,将大系统分解为具体的组成要素,从中分析可能存在的风险及潜在损失的威胁。
(6)失误树分析法:失误树分析方法是以图解表示的方法来调查损失发生前种种失误事件的情况,或对各种引起事故的原因进行分解分析,具体判断哪些失误最可能导致损失风险发生。
风险识别还有其他方法,诸如环境分析、图解法、事故分析等。组织在识别风险时应该交互使用各种方法,更好地为全面查找风险服务。