社区灾害风险评估程序及报告文档.doc

风险评估的主要任务
风险评估的主要任务包括:





风险评估过程注意事项
在风险评估过程中,有几个关键的问题需要考虑。
首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?
其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁,威胁源(威胁代理)可能不止一个,每种威胁可能利用一个或多个弱点。
风险评估的三种可行途径
在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。
风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。
目前,实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
风险评估的常用方法
在风险评估过程中,可以采用多种操作方法,包括基于知识的分析方法、基于模型的分析方法、定性分析和定量分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。
Xxxx社区评估程序表(1—12)
附件1:
XX社区风险等级评估表
风险等级
危害造成的伤害或危害的程度和范围
火灾
暴雨
地震
地质
气象
重大伤亡/严重污染/财产损失
一般伤害/污染/财产损失
轻度伤害/污染/财产损失
重大伤亡/严重污染/财产损失
一般伤害/污染/财产损失
轻度伤害/污染/财产损失
重大伤亡/严重污染/财产损失
一般伤害/污染/财产损失
轻度伤害/污染/财产损失
重大伤亡/严重污染/财产损失
一般伤害/污染/财产损失
轻度伤害/污染/财产损失
重大伤亡/严重污染/财产损失
一般伤害/污染/财产损失
轻度伤害/污染/财产损失
H-高
M-中
L-低
H-高
M-中
L-低
H-高
M-中
L-低
H-高
M-中
L-低
H-高
M-中
L-低
A-可能性
H-非常可能
M-有可能
L-不太可能
附件2:
社区灾害风险评估申请表
呈报单位(盖章): 填表时间: 年月日
灾害
名称
类别
简要
情况
评估
建议
领导
意见
备注
注:此表一式两份,一份报领导小组办公室,一份呈报单位留底。
附件3:
社区灾害风险评估意见书
xx社区灾害风险评估小组:
您处提交的xxxx灾害,经风险评估领导小组审议,决定按照xxxx灾害的风险等级的划分,进行评估。请按以下意见开展工作:(根据灾害的特点,采取的措施)







Xxxx社区评估工作领导小组
年月日
附件4:
社区灾害风险评估方案
一、评估对象基本情况
灾害名称: 填写灾害的名字
灾害内容: 根据灾害种的具体分类
涉及区域: 范围
涉及群众情况(人/户):
拟用地情况:
涉及资金情况:
经济、社会效益预计:
二、不稳定因素预估:(可能引发什么样的不稳定因素,涉及的人员、数量、激烈程度、可能带来的负面影响等)


三、评估方案
评估工作责任领导:
评估工作直接责任人:
参加评估的单位:
评估工作人员名单:

评估类型:(分一般评估或重点评估)
拟采取的