安全风险、安全风险评估与全风险管理.ppt-得力文库

资源描述

《安全风险、安全风险评估与全风险管理.ppt》由会员分享，可在线阅读，更多相关《安全风险、安全风险评估与全风险管理.ppt（90页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、研修教程中国安全防范产品行业协会安全防范系统设计与评估高级研修班安全防范系统设计与评估高级研修班中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程安全风险、安全风险评估安全风险、安全风险评估与与安全风险管理安全风险管理昆山昆山 June 2010中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程导言导言 2006年,安全防范设计评估师培训教程开始编辑,时至今日已近五年。五年来，安全风险评估的理念，其与安全防范之间的关系，以及对安全风险、安全风险评估和安全风险管理的认知都发生了不同程度的改变。同时，安全风险评估的案例促进了理论的完善和经验的积累中国安全防范产品行业协会安全防范

2、系统设计与评估高级研修班教程目录目录一一.概述概述二二.风险评估过程风险评估过程三三.风险管理风险管理四四.安全解决方案安全解决方案中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程一一.概述概述1.1 风险是什么？风险是什么？风险风险Risk后果后果Consequence可能性可能性Likelihood威胁威胁Threat资产资产Asset弱点弱点Vulnerabilities中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程一一.概述概述1.2 我们如何定义风险？我们如何定义风险？风险风险：不确定性对目标的影响；Risk：Effect of uncertaint

3、y on objectives ISO31000：2009 中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程一一.概述概述1.3 关于关于ISO31000：2009 Risk management Principles and guidelines 风险管理风险管理原则和指导方针原则和指导方针中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程一一.概述概述1.4 风险管理风险管理风险管理是一个组织对风险的指挥和控制的一系列协调活动。包括了风险管理框架结构设计、风险管理实施、框架的监控与检查和框架的持续改进四个典型的PDCA循环。中国安全防范产品行业协会安全防范系统设计

4、与评估高级研修班教程一一.概述概述1.5 风险评估流程风险评估流程沟通与咨询监视与审查风险识别风险分析风险评价风险处置建立环境中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程一一.概述概述1.6 安全解决方案安全解决方案风险评估风险评估安全解决方案安全解决方案系统运行系统运行中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程一一.概述概述1.7 全寿命周期管理（全寿命周期管理（LCM）初始评估二次评估运行评估升级评估中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程一一.概述概述1.8 安全态势的认知方式与范围安全态势的认知方式与范围安全检查

5、：检查项的有或无，Yes or No；安全审计：按照基准，由专业人员判断的符合与否；安全评价：满足预期目标的程度；安全评估：专业人员经过识别与分析，给出的态势描述和原因分析；中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.1 建立风险评估的环境建立风险评估的环境建立风险管理环境，是将内外部因素考虑在风险管理之中，另外也为风险管理流程设定了范围和风险标准。外部环境旨在确保风险标准制定过程中外部利益相关者的目标和关注点得到顾及。内部环境在于风险管理流程应该与组织的文化、流程、组织结构和战略相匹配中国安全防范产品行业协会安全防范系统设计与评估高级研

6、修班教程二二.风险评估过程风险评估过程2.2 风险识别风险识别作为风险评估过程的第一步，是识别风险因素及其影响的对象、安全事件产生的原因及潜在的后果。这项工作的目标，是在这些事件的基础上建立完整的风险清单。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2 风险识别风险识别构成风险的基本因素包括资产威胁弱点风险风险Risk后果后果Consequence可能性可能性Likelihood威胁威胁Threat资产资产Asset弱点弱点Vulnerabilities中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险

7、评估过程2.2 风险识别风险识别威胁 Threat传统安全威胁NTS资产资产 AssetCIKR一般资产弱点弱点 Vulnerability构成管理风险风险 Risk中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产特点l资产是被保护对象l资产是安全保卫需要顾及的因素l资产特征决定了损失模式l资产特征决定的威胁特征l资产是制定安全防范标准的依据中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产范围范围风险管理的考虑资产资产CIKR一般资产一般资产中国安全防范产品行业协

8、会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产 CIKRCIKR：重要基础设施及关键资源 Critical Infrastructure and Key Resources背景简述：9.11 DHS NIPP CIKR安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产 CIKR 突发事件如果造成对重要基础设施和关键资源的破坏，将会严重影响政府部门和经济界的正常运作，并产生一连串远远超出事件所针对部门和所发生区域的影响，甚至导致人民生命财产的巨大损失、经济衰退以及公民士气和国家信心的灾难性损失。NIPP中国安全防范产品

9、行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产 CI 重要基础设施食品与农业、国家标志与象征、金融、化学与危险材料、国防工业、水源、健康设施等。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产 KR 关键资源政府设施、水坝、商业设施、核电站等。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产一般资产一般资产安全防范设计评估师一级教程 P4所列出的资产。其中：05项信息安全下的物理安全；06项过程安全（奥运会、世

10、博会）；中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产损失模式损失模式l死亡、损毁以及直接的财务损失l伤、病及持续的负面影响l对社会及环境的影响l损失后果被利用中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产与威胁的相关性与威胁的相关性CIKR一般资产NTS传统安全威胁威胁资产资产 NTS：非传统安全 Non Traditional Security中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产制定标

11、准的依据制定标准的依据GA26 1992 军工产品储存库风险等级和安全防护级别的规定GA27 2002 文物系统博物馆风险等级和安全防护级别的规定GA38 2004 银行营业场所风险等级和安全防护级别的规定中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.1 资产资产定义风险评估内容定义风险评估内容l风险评估是针对特指的资产；l构成风险的其他因素（威胁、弱点）同样特指某一资产；l用资产定义风险评估的内容。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁定义定义 l威胁是可能对资产造

12、成损害的潜在的原因；l威胁是针对某一资产的实时状态；l威胁带有指向性；l威胁不仅来自系统外部。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁分类分类威胁威胁传统安全传统安全NTS背景性威胁背景性威胁功能性威胁功能性威胁中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁背景性威胁背景性威胁目标所处在的社会环境，构成了背景性威胁的主要特征。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁功能性威胁功能性威胁目标自身的业务特征所招

13、致的安全威胁，成为功能性威胁。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁威胁模式威胁模式威胁模式传统安全领域聚众入侵伤害盗窃纵火NTSCBR信息安全恐吓与威胁绑架与暗杀IED安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁 NTS IED IED 临时爆炸装置安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁 NTS CBR CBR 化学、生物、放射性安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁另一战线另一战线安全防范系统设计与评估

14、高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁 ETIM(东土尔其斯坦伊斯兰运动)在阿富汗境内库纳尔省（Kunar）或努尔斯坦省（Nurestan）境内的宗教学校（madrassa)接受训练的,来自中国新疆的维族少年。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁指向性指向性与资产相关性 01入侵02伤害03盗窃04纵火05聚众06信息安全07威胁与恐吓08绑架与暗杀09IED10CBR业务连续性建筑及设施相关方资产业务特征威胁安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁信息获取信息获取

15、可能性获取威胁信息的渠道：l公开的l非公开的l商业的中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁信息获取信息获取可能性获取威胁信息的路径：l同域l同业l同一清单中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁信息获取信息获取攻击清单中国安全防范产品行业协会攻击效果要件攻击效果要件最深刻的印象最深刻的印象最适宜的机会最适宜的机会最容易的成功最容易的成功更深远的影响适合的对象触发连锁反应更多的受害者更触目的损失防范的弱点事先的准备适合的时机适合的场合安全防范

16、系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁信息获取信息获取攻击数据库中国安全防范产品行业协会关注所有的攻击事件，通过真实记录和规范分析，获得有关攻击特征的信息。将这些信息记入攻击数据库。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁攻击数据库案例提取1 中国安全防范产品行业协会分析针对营业所攻击事件，导致成功的原因显示：1.安保流程设计与执行缺陷占25%；2.安保控制区以及其管制规则缺陷占32%3.人员控制策划和执行缺陷18%4.设备及人员素质缺陷为25%。设备设备25%流程流程25%控制区控制区32%

17、人员人员18%安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁攻击数据库案例提取2 10%5%60%25%其他区域其他区域使馆使馆区区宗教场所宗教场所安检站安检站外交使团驻地外国人聚集区富人区街区/商业设施居住区学校宗教圣地朝觐人群宗教活动发现后引爆攻击目标意外触动/引爆战争战争安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁信息验证信息验证验证方法验证方法执行概要执行概要纵向验证纵向验证以时间作为验证工具，以防范对象的过去事件/态势对现在进行验证横向验证横向验证以不同渠道获得的信息进

18、行比对；以不同路径获得信息进行比对相似验证相似验证利用同业、相似单位的案例作为工具，对本目标的威胁进行验证安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.2 威胁威胁概率概率l可能性（Likelihood）可以分级描述；l概率（Probability）需要一个数值；l不确定性意味着难以给出概率。资产不同、威胁不同，以及不同的安全防范态势会有多种可能性。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点定义定义l弱点是指可能被攻击者所利用，导致资产损失的薄弱点 l弱点可能源于建筑特点、设备状态、人的行为和组

19、织活动l薄弱是相对的，它取决于与其相邻环节的状态l弱点来自某一特指的资产l弱点是动态的中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点发现弱点发现弱点中国安全防范产品行业协会01安全检查02安全评价03安全审计04安全风险评估标准 /规范经验目标发现弱点的方法模型形式形式安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ISO31010:2009 Risk Management Risk Assessment Techniques 风险管理风险评估技术罗列15种用于风险识别（Ri

20、sk Identification）的方法中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 FTA 洛克比空难调查 1988年12月21日。泛美航空103号班机执行法兰克福伦敦纽约底特律航线。它成为恐怖袭击目标，飞机在苏格兰边境小镇洛克比（Lockerbie）上空爆炸，270人罹难。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 FTA 洛克比空难调查机场当局机场当局未做出反应未做出反应+机场安检人员未检出行李箱中的炸弹机场当局未对评估报告机场当局未对评估报告做出反应做出反

21、应机场当局未对预警机场当局未对预警做出反应做出反应X光探测设备操作人员是实习生现有X光探测设备很难发现行李炸弹忽视联邦航空管理局转发的匿名警告保安主管扣押带有警告信息的备忘录航空公司拒绝采纳核对行李的安全措施无视警方不明身份人员刺探机场安保的情报安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ATA 攻击树（Attack Tree Analysis）根目标枝节点叶节点叶节点叶节点叶节点叶节点叶节点枝节点枝节点叶节点安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ATA Bruce Scheine

22、r 创建于1999 是一种半形式化方法通过根目标叶目标节点，揭示攻击路径犯罪特征、成本、技能等因素的试探用于发现和分析防范弱点和安全威胁不是很有名，然而很实用中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ATA经典例子密码切割内应记录获取威胁绑架窃听贿赂说及听到打开保险柜撬锁安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ATA 思考：如果我是攻击者保险柜的价值有多大？我们的机会？我们的能力（资金、技能）？环境容忍度？失手的损失？风险评估决策（确定攻击

23、路径）。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ATA 思考：如果我是防范者保险柜的价值会引来什么样的攻击者？所有可能的攻击路径？当前最有可能的攻击路径？我们切断了这些路径吗？切断位置和次数？风险评估决策。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ATA 应用非法进入港口保安限制区非法进入港口保安限制区潜入潜入/闯入闯入+取得直接放行取得直接放行威胁+利诱欺骗+越过护栏强闯+攀爬钻入持非法证件混入持非法证件混入+冒用伪造+伪造访

24、客证伪造识别卡变造夹带+集装箱车辆安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 ATA 结果梳理 ATA结果梳理 1.路径描述 2.路径标识 3.投影分析物理环境业务流程组织架构安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点攻击攻击-损失模式损失模式威胁威胁Threat资产资产AssetABCD安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点模型模型 SCM一层防范二层防范三层防范三层防范ABCA:Site SecurityB:Building Secur

25、ityC:Facilities Security安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点瑞士奶酪模型周界物理防范门卫人力防范安检技术防范监视技术防范中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.2.3 弱点弱点瑞士奶酪分析报告周界物理防范门卫人力防范安检技术防范监视技术防范SCA报告报告中国安全防范产品行业协会中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.3 风险分析风险分析风险评估过程的第二步，是根据对风险清单所罗列的各项因素进行相关分析，确

26、定资产损失后果、可能性以及风险的其他属性，建立反映风险的表达方式，根据已经设定的风险标准确认各个因素组合所产生的风险的等级。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.3 风险分析风险分析任务l相关关系l表达形式l风险等级风险风险Risk后果后果Consequence可能性可能性Likelihood威胁威胁Threat资产资产Asset弱点弱点Vulnerabilities安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析可能性可能性 Likelihood Likelihood=(Vulnerabilities、Threat）T

27、hreat Vulnerabilitiesvt 相对威胁而言，弱点属于既存的、状态相对稳定的因素，因此，在考虑损失可能性时，对威胁可能性的关注度要高于弱点变化。或者至少保证对威胁与弱点的同步关注。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析可能性可能性局限弱点 Vulnerabilities 威胁 Threat安全检查安全评价安全审计安全风险评估安全咨询中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析可能性可能性置信度保障l科学的方法l专业的视点l专注的精神l有效的沟通l对资产

28、的认知中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析可能性可能性等级理论中国安全防范产品行业协会几乎可以肯定几乎可以肯定（Almost Certain）很可能很可能（Likely）（具）可能性（具）可能性（Possible）不大可能不大可能（Unlikely）罕见罕见（Rare）安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析可能性可能性等级统计趋势中国安全防范产品行业协会 CBR恐吓与威胁绑架与暗杀IED非传统安全领域聚众入侵盗窃纵火伤害传统安全领域中国安全防范产品行业协

29、会安全防范系统设计与评估高级研修班教程聚众入侵盗窃纵火伤害传统安全领域物理防范技术防范人力防范社会治安综合治理二二.风险评估过程风险评估过程风险分析风险分析可能性可能性等级薄弱点分布中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析可能性可能性原则分析可能性时,需要把握的原则包括:l 威胁与弱点构成了攻击组合;l 威胁与弱点同与一项资产相关l 可能存在多种组合;l 需要分别描述。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析后果后果 Consequence Consequence=

30、(Threat、Asset）相对威胁而言，资产属于状态相对稳定的因素，因此，在考虑后果时，对威胁可能性的关注度要高于资产变化。同时要考虑NTS因素对资产的威胁。Asset ThreatTANTS安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析后果后果等级-理论灾难灾难Disaster严重事态严重事态Critical Situation巨大损失巨大损失Serious Loss严重损失严重损失Major Loss损失损失 Loss安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析后果后果等级恐怖袭击人道主义灾难设施遭

31、受严重结构性破坏业务较长时间中断公众心理不良影响设施遭受有限破坏业务被迫临时中断、群体事件局部安全事件负面消息传播领地入侵公共或个体财物损失个体侵害消防安全事件工作秩序受到干扰社会动荡安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析后果后果原则分析后果时,需要把握的原则包括:l 威胁与资产共同决定了后果/影响;l 后果是指同一资产在威胁下的损失；l 不同的资产招致不同的威胁;l 资产特征影响可能性。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析表达形式表达形式 Risk=(Likeliho

32、od、Consequence）风险风险Risk后果后果Consequence可能性可能性Likelihood威胁威胁Threat资产资产Asset弱点弱点Vulnerabilities中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析表达形式表达形式风险平面可能性可能性（Likelihood）后果后果（Consequence）R1R2 任何一个风险，总能够在坐标平面上找到相对应的位置。风险若发生变化，无论是损失的后果变大（小），还是损失可能性增加（减少），都能够在风险平面上显示出来。安全防范系统设计与评估高级研修班教程二二.风险评估

33、过程风险评估过程风险分析风险分析表达形式表达形式风险轮廓线 Risk=Likelihood Consequence=K可能性可能性（Likelihood）后果后果（Consequence）灾难灾难(Disaster）R=K3 K2R=K2 K1R=LC=K1Never 绝无安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析表达形式表达形式可接受区域不可接受不可接受可暂时接受可暂时接受可接受可接受K0可能性（Likelihood）后果(Consequence)R=L C K0决定因素：l 价值观与安全文化l 安全策略l 安保资源l 内部与外部环境中国安

34、全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析表达形式表达形式 RM 风险矩阵风险矩阵 Risk Matrix可能性（可能性（Likelihood）后果后果(Consequence)Not AcceptableProvisionally AcceptableAcceptablel RM是风险轮廓线的数字化；l 区域数量的确定，应考虑政策法规标准的要求；l 顾及目标及其所在社区公共安全预警和应急预案的要求。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析风险等级风险等级导入可能性（可能性（Lik

35、elihood）后果后果(Consequence)Not AcceptableProvisionally AcceptableAcceptable低度风险低度风险Risk L中度风险中度风险Risk M高度风险高度风险Risk H可能性（可能性（Likelihood）后果后果(Consequence)安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险分析风险分析风险等级风险等级原则l特指资产的风险及风险等级；l特指某一风险的等级；l依据内部环境所制定的等级；l适应外部环境所制定的等级。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评

36、估过程风险评价风险评价风险评估过程的第三步，是进行风险评价。风险评价的目的，是在前面进行的风险分析的基础上确定那些风险需要进行处理和风险处理的优先顺位。确定的依据包括外部环境对风险的容忍性，以及内部环境所建立的风险标准。前者反映了政策、法律法规以及社会环境要求；后者体现了被保护对象自身的价值观、安全文化和安全策略的诉求。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险评价风险评价处置选择处置选择 LikelihoodR1 /IEDConsequence LikelihoodConsequenceR3/领地入侵领地入侵R2/恶意伤害恶意伤害R1R2R3中国安全防范产

37、品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险评价风险评价基本原则基本原则l运用已建立的标准建立风险等级，并考虑风险处理的可能与需要；l应顾及组织以外的其他团体对风险的容忍性，应符合法律法规要求；l评价结果可能导致对风险的进一步分析，也可能导致对风险不采取任何处理措施。中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程2.4 风险评估报告风险评估报告l风险评估报告是风险评估结果的表现形式；l风险评估报告针对特指的某一资产；l报告中所描述的是该项资产在特指时间下的风险；l风险评估报告将作为系统设计的依据；l风险评估报告

38、是一份安全敏感文件。安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险评估报告风险评估报告基本内容基本内容法律声明法律声明目录目录编制说明编制说明评估机构评估机构委托事项委托事项评估过程评估过程资产态势资产态势安全威胁安全威胁薄弱环节薄弱环节风险分析风险分析风险评价风险评价风险综述风险综述特殊事项特殊事项附件附件安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险评估报告风险评估报告解读解读系统设计师内部环境描述外部环境描述资产清单威胁清单攻击路径风险评价中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险评估报告风险评估报告解读解读风险识别中国安全防范产品行业协会Global-AsiaChina-CityCommunityOrganization-AssetR1R2R3Al-Quaeda.GEIUFCCCViolence Crime.GDPCPI安全防范系统设计与评估高级研修班教程二二.风险评估过程风险评估过程风险评估报告风险评估报告解读解读风险识别设计师应从风险评估报告中分辨：l需要了解的风险；l需要关注的风险；l需要考虑的风险；l需要处置的风险。中国安全防范产品行业协会中国安全防范产品行业协会安全防范系统设计与评估高级研修班教程The end OF PART 1

展开阅读全文