6.3.1  风险评估的概念

1.风险评估的定义

在信息科技领域开展风险评估工作，是对信息科技风险进行识别和计量的重要手段，也是风险管理机制的重要组成部分。通过开展风险评估工作，可以提前发现风险，并按照风险重要程度进行排序，使商业银行能够集中有限资源消除或降低重要风险，防范重大安全事故发生。对信息系统进行风险评估，能够帮助商业银行发现信息系统中存在的安全漏洞和隐患，及时排除潜在风险，提高信息系统的安全性和合规性，是研发风险管控的重要手段之一^[54]。

ISO/IEC 27005“信息技术安全技术信息安全风险管理”对风险评估在风险管理中的定位以及风险识别、风险分析、风险计量和风险评估的关系做了精确的描述。根据该标准，风险管理流程包括确定对象、风险评估、风险处置、风险监测与审查、风险沟通几个活动，其中风险评估、风险处置、风险监测与审查是整个风险管理活动中的重点。风险评估包括风险分析和风险评价，风险分析包括风险识别和风险估计。风险管理流程如图6-1所示。

图6-1 风险管理流程

2.风险评估标准

开展风险评估工作不能靠“闭门造车”凭空想象，应充分研究和利用目前国内外已有的风险评估标准和业内最佳实践。常见的风险管理和评估标准包括TCSEC、IT-SEC、ISO27001、ISO15408等，请参阅本书第2.3.1节“信息安全标准的基本概念”。国外与风险评估相关的标准还包括ISO13335、NISTSP800等，在此不再详述。

国内风险评估标准借鉴了上述国际标准的思想，主要有《信息安全风险评估规范》（GB/T 20984—2007）和《信息安全风险管理指南》（GB/Z 24364—2009）。其中，《信息安全风险评估规范》介绍了风险评估的流程、工作方式以及如何在信息系统生命周期各阶段开展风险评估工作；《信息安全风险管理指南》介绍了风险管理流程以及如何在信息系统生命周期各阶段开展风险管理工作。此外，国内推行的信息系统安全等级保护标准也可以作为风险评估的参考依据。