安全风险评估

▲风险评估

        采用定性或定量的方法，对风险事故发生的可能性及严重程度进行数量估算，并根据制定的风险分级标准和接受准则，对工程风险进行等级分析、危害评定和风险排序的过程。

▲评估过程

       • 风险评估工作贯穿信息系统整个生命周期，包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。

• 资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值;资产包括硬件、软件、服务、信息和人员等；

• 威胁识别与赋值：即分析资产所面临的每种威胁发生的频率，威胁包括环境因素和人为因素；

• 脆弱性识别与赋值：从管理和技术两个方面发现和识别脆弱性，根据被威胁利用时对资产造成的损害进行赋值；

• 风险值计算：通过分析上述测试数据，进行风险值计算，识别和确认高风险，并针对存在的安全风险提出整改建议。

• 被评估单位可根据风险评估结果防范和化解信息安全风险，或者将风险控制在可接受的水平，有限度地保障网络和信息安全提供科学依据。

• 开展施工风险评价的时间节点；

• 总体风险评估在施工图设计完成后、项目开工前。

• 施工前专项评估在施工组织设计完成后、专项施工方案报监理工程师批准前。

• 施工过程中专项评估在现场揭露地质条件与设计依据的地质条件相差较大、发现重大风险隐患、出现风险事故等情况出现时。