安全评估，什么是安全评估

1. 安全评估，什么是安全评估

安全评估分狭义和广义二种。狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进行的分析与评估，并以既定指数、等级或概率值作出定量的表示，最后根据定量值的大小决定采取预防或防护对策。广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出相应的安全对策措施，以达到工程、系统安全的过程。安全评估又称风险评估、危险评估，或称安全评价、风险评价和危险评价。
觉得我的回答可以请关注我的公众号，里面有许多关于企业运营的好文章，请关注：企业营销大管家，十万企业家已关注，你还在犹豫吗？

2. 企业安全风险评估怎么做

目前，国内外的企业信息安全风险评估大致分为两种模式：自评估和他评估。一般只有企业在发生较大变化时，主要业务系统发生重大改变时，才会进行他评估。而大多数情况下，企业只进行自评估，所以，自评估已成为企业信息安全风险评估的基本模式。
他评估，就像我们去医院体检。我们为了详细地了解自己的身体健康状况而需要医院做全面的分析和检查。企业在进行他评估的时候，也是为了全面了解其面临的信息安全风险而委托具有风险评估能力的专业评估机构或上级主管部门，对自己的安全策略、安全制度进行的风险评估活动。自评估，对于企业来讲，要用最小的资源消耗来了解企业当前的安全状态、安全流程以及安全控制措施的有效性。
自评估的“优”与“劣”如果你给自己看病，会有很多的不方便。自评估也是一样的道理。由于资源、评估人员的水平有限，存在许多的问题: 不深入、不规范、不到位；缺乏工具；主观因素太多；权威性小。当然了，也有比较好的方面：对外界的依赖少；费用低廉；周期较短；额外的风险小；能提高企业对自身的安全认识。
其实，选择他评估还是自评估都取决于效率和成本等因素。小企业可以通过自评估为主，以周期性他评估为辅的方式进行，但是大企业就需要以内部主导的厂商他评估，来进行企业信息安全风险评估，这是一种混合式的自评估。
企业信息安全风险的自评估贯穿企业发展的每个阶段。自评估涉及的评估要素也很多：风险本身、企业资产、企业的脆弱点、威胁源、控制措施和企业的安全需求等。

(企业信息安全风险评估要素关系图)
企业与威胁源的对立关系，就像人体和病原体之间的关系，二者相互对立。企业拥有资产，资产存在的脆弱点只有通过控制措施减少，才能避免风险的增加。企业需要相应的控制措施来满足安全需求，既而抵抗威胁源。
企业自评估的原则:
标准化指导原则；（按照国家或国际相关标准的指导下进行整个评估工作。）
评估人员的多样化；（从企业的各个角度全方位考虑）
管理与技术评估相结合；（三分技术，七分管理）
重点评估与全面评估兼顾；（对重要资源进行评估的同时，还要在条件允许的情况下尽可能多的去评估。）
企业效率与评估效率综合考虑；（评估过程是否会影响企业生产效率）
与他评估相辅相成。（自评估的结果应该以规范的化的形式保留，以供他评估参考。）
企业自评估的流程设计:企业的自评估活动是一个动态的过程，随着企业的发展，需要不断的进行自评估，以此来满足企业的安全需求。

(企业自评估的实施流程)
风险评估，作为企业信息安全管理的第一步，它的评估结果直接影响着整个安全管理的质量。由于评估的各个要素又是处于不断变化之中，所以及时了解企业的安全状态是十分必要的，而定期评估是达到安全目的的必不可少的手段。

3. 企业安全风险评估怎么实施？

企业安全风险评估的一般工作流程可以分为如下几个步骤：

对信息系统特征进行描述，也就是分析信息系统本身的特征以及确定信息系统在组织中的业务战略。对信息系统本身的特征，包括软件、硬件、系统接口、数据和信息、人员和系统的使命，都要有清楚地描述。这个步骤需要产生一系列的文档，包括系统边界、系统功能的描述、系统和数据的关键性描述、系统和数据的敏感性描述（数据和系统本身的重要程度，在整个组织里占据什么地位）。

识别评估系统所面临的威胁。分析内容包括系统被攻击的历史和来自信息咨询机构和大众信息的数据。比如，网上银行系统，根据一些信息咨询机构和媒体、网络银行范围和手段，以这些信息作为基础，对系统所面临的威胁进行标志和分类。这个步骤需要输出一系列的威胁说明，系统可能遭受什么样的威胁，包括天灾人祸、管理上的威胁和人员上的威胁等，都需要按照规范做出威胁程度和性质的说明。

对内在的脆弱性进行识别。脆弱性识别包括：以前风险评估的报告和新的风险评估需要参考以前的风险评估报告，因为，以前的脆弱性可能是系统固有的；同时来源于安全检查过程中，提出的一些整改意见和安全漏洞；以及根据组织本身已有的安全要求和安全期限（Deadline），在系统上线和运行的过程中进行安全测试，如漏洞扫描等。这个步骤还需要输出可能的脆弱性列表，对系统本身的可能脆弱性进行归一化整理。

分析当前和规划中的安全防护措施。这个步骤需要输出当前和规划中的安全防护措施的分析报告，作为下一步安全防护的依据。

主要目的是确定威胁利用脆弱性对资产发生破坏导致负面影响发生的可能性。这个可能性需要对每一项威胁利用每一个安全事件的可能事件，构建一个安全矩阵，在矩阵上的每一个交点确定可能性的级别。这个步骤需要输出可能性级别的分析文档，这个安全事件最有可能发生，或者是基本不可能发生。

分析影响。这个步骤需要分析风险对整个组织的影响，评估资产的关键性、数据的关键性和数据的敏感性。这个步骤需要输出影响级别的分析包括，作为影响级别的矩阵，根据影响和可能性的函数，以及安全防护的措施情况，来确定安全风险。最后形成风险分析结果，包括评价缝隙结果和给出风险等级，以及建议风险控制的措施。

确定风险的级别，例如，高风险、低风险，还是其他级别的。

根据所确定的风险的级别，建议和提出相应的安全防护措施。安全措施落实以后，需要进行残余风险的分析，判断残余风险是否可以接受。

对风险评估的整个过程进行结果记录，这个步骤需要输出一份完整的风险评估报告。

4. 企业应对什么什么进行评估

亲，您好！对于您问的【企业应对什么什么进行评估】的问题做以下解答：企业应对什么什么进行评估如下：A、对员工的职业健康进行评估。 B、对员工的身体健康进行评估。 C、对员工的心理健康进行评估。D。 对企业的价值进行评估。E，对企业的商标进行评估。企业是指企业所得税法及其实施条例规定的居民企业和非居民企业。【摘要】
企业应对什么什么进行评估【提问】
亲，您好！对于您问的【企业应对什么什么进行评估】的问题做以下解答：企业应对什么什么进行评估如下：A、对员工的职业健康进行评估。 B、对员工的身体健康进行评估。 C、对员工的心理健康进行评估。D。 对企业的价值进行评估。E，对企业的商标进行评估。企业是指企业所得税法及其实施条例规定的居民企业和非居民企业。【回答】
企业在商品经济范畴内，作为组织单元的多种模式之一，按照一定的组织规律，有机构成的经济实体，一般以营利为目的，以实现投资人、客户、员工、社会大众的利益最大化为使命，通过提供产品或服务换取收入。它是社会发展的产物，因社会分工的发展而成长壮大。企业是市场经济活动的主要参与者；在社会主义经济体制下，各种企业并存共同构成社会主义市场经济的微观基础。企业存在三类基本组织形式：独资企业、合伙企业和公司，公司制企业是现代企业中最主要的最典型的组织形式。【回答】

5. 企业什么对企业安全生产状况进行安全评估进行整体评估

亲亲，您好，根据您的问题为您提供以下回答，仅供参考：《国务院安委会办公室关于实施遏制重特大事故工作指南构建双重预防机制的意见》（安委办〔2016〕11号）明确，企业要针对自身类型和特点，组织专家和全体员工，全方位、全过程辨识生产工艺、设备设施、作业环境、人员行为和管理体系等方面存在的安全风险；针对辨识出的风险，采用相应的风险评估方法确定安全风险等级；针对风险特点，从组织、制度、技术、应急等方面对安全风险进行有效管控，并实施安全风险公告警示。同时，要求政府监管部门汇总建立区域安全风险数据库，绘制区域“红橙黄蓝”四色安全风险空间分布图，并实施分级分类安全监管。【摘要】
企业什么对企业安全生产状况进行安全评估进行整体评估【提问】
亲亲，您好，根据您的问题为您提供以下回答，仅供参考：《国务院安委会办公室关于实施遏制重特大事故工作指南构建双重预防机制的意见》（安委办〔2016〕11号）明确，企业要针对自身类型和特点，组织专家和全体员工，全方位、全过程辨识生产工艺、设备设施、作业环境、人员行为和管理体系等方面存在的安全风险；针对辨识出的风险，采用相应的风险评估方法确定安全风险等级；针对风险特点，从组织、制度、技术、应急等方面对安全风险进行有效管控，并实施安全风险公告警示。同时，要求政府监管部门汇总建立区域安全风险数据库，绘制区域“红橙黄蓝”四色安全风险空间分布图，并实施分级分类安全监管。【回答】

6. 企业的安全评价与安全性评价有什么异同？

安全评价一般指外部机构（一般指评价单位）对企业的安全性做以评价。一般可分为安全预评价、安全验收评价、安全现状评价和专项安全评价等，一般评价内容较系统，但专业性不强。
安全性评价指企业内部风险辨识的一种方法，一般指对评价范围（单元操作、设备、装置、人机操作等等）的安全性做以分析，提出其事故发生的可能性和发生后果的严重性，并提出拟采用科学技术措施或管理措施等。评价结果较细致，针对性较强。也叫风险评价。在企业安全管理过程中，作业活动之前应常作安全性评价。

7. 怎样在企业中进行安全评价

亲亲你好，非常感谢你的耐心等待，企业安全评价可以参考如下完成哈：企业的安全工作是一个大系统，识别、控制、预防、改造这个大系统中的人、机、物、环境的危险性，就必须对它有充分的认识，明确指出危险性的存在和事故发生的可能性。1．企业第一责任者（厂长、经理）、部门第一责任者必须亲自抓评价理由有三条：1）安全性评价是一个企业全方位的工作，涉及到设备设施、部门、人员三个100%，他们各有各的责任，各有各的任务，企业厂长更是责无旁贷，必须亲自抓评价。2）安全性评价对于实现系统的安全性要求高，工作量大面广，需要一定的人力、物力和财力。为实现这些要求，只有企业第一责任者，才能起到领导、组织、协调、部署的指挥作用。3）必须彻底纠正“管生产必须管安全”仅是生产厂长管安全的偏向。长期以来，人们把企业安全工作错误地理解为仅从原材料投入到产品完成的单一生产安全。通过评价，必须把生产过程的安全转变为企业生产经营活动的系统安全。这种实质性的转变，只有第一责任者亲自抓评，关系才能理顺。【摘要】
怎样在企业中进行安全评价【提问】
亲亲你好，非常感谢你的耐心等待，企业安全评价可以参考如下完成哈：企业的安全工作是一个大系统，识别、控制、预防、改造这个大系统中的人、机、物、环境的危险性，就必须对它有充分的认识，明确指出危险性的存在和事故发生的可能性。1．企业第一责任者（厂长、经理）、部门第一责任者必须亲自抓评价理由有三条：1）安全性评价是一个企业全方位的工作，涉及到设备设施、部门、人员三个100%，他们各有各的责任，各有各的任务，企业厂长更是责无旁贷，必须亲自抓评价。2）安全性评价对于实现系统的安全性要求高，工作量大面广，需要一定的人力、物力和财力。为实现这些要求，只有企业第一责任者，才能起到领导、组织、协调、部署的指挥作用。3）必须彻底纠正“管生产必须管安全”仅是生产厂长管安全的偏向。长期以来，人们把企业安全工作错误地理解为仅从原材料投入到产品完成的单一生产安全。通过评价，必须把生产过程的安全转变为企业生产经营活动的系统安全。这种实质性的转变，只有第一责任者亲自抓评，关系才能理顺。【回答】
2、评价过程必须实行“分级管理，分线负责”的各级安全生产责任制，1）安全性评价是一项大的系统工程，企业内部所有的分系统或子系统无不与安全性评价发生一定关系。在这种情况下，单靠哪一个人、哪一个部门都是难以达到预定目的的。从另一方面说，各级各线的领导者都要对本单位，本线的安全负责，都应该把自己所承担的那一部分工作做好。如果你主管的那一部分安全工作不能达到要求，说明你没有尽职尽责。因此，抓好主管的那一部分工作当然要包括安全工作在内，都是份内的事情。一个企业要真正搞好安全性评价，就必须实行“分级管理，分线负责”，使企业的整个运行机制能有效地运转。【回答】
3．建立企业安全性评价领导小组和机构1）设立以第一责任者为领导的安全性评价领导小组和安全性评价办公室。2）根据“分级管理，分线负责”原则，建立各线副厂长为首、有关主管处室主要负责人组成的专业整改组。3）建立由企业各有关专业职能人员组成的专业指导组或验收组。【回答】
通过建立上述的各级领导小组和机构，使企业形成自上而下的、完整的领导体系和自下而上的层层保证体系，保证安全性评价总体目标的实现【回答】

8. 如何实施一个安全评估

一个安全评估大致有四个阶段： 
  
  资产等级划分   --->  威胁分析  --->   风险分析   --->   确定解决方案 
  
  1、资产等级划分 
  
   是所有工作的基础，明确目标是什么？要保护什么？
  
   ---引申出来的数据安全---- 最重要的资产是什么？最看重的数据是什么？不同数据的重要程度？
  
  2、威胁分析   
  
 可能造成危害的来源叫威胁(Threat)，而可能出现损失的称为风险(Risk)
  
 STRIDE模型：Spoofing(仿冒）、Tampering(篡改)、Repudiation(抵赖)、InformationDisclosure(信息泄露)、DoS(拒绝服务)、Elevation of Privilege(提升权限)
                                          
  3、风险分析 
  
     风险 = 发生概率 * 潜在损失
  
    DREAD模型：
  
 潜在损失(Damage Potential) 、重现性(Reproducibility)、可利用性(Exploitability)、受影响的用户(Affected users)、可发现性(Discoverability) -----  参考链接 
                                          
  4、确定解决方案  
  
     安全评估的产出物就是安全解决方案。解决方案一定要有针对性，这种针对性是由资产等级划分、威胁分析、风险分析等阶段的结果给出的。
  
     一个优秀的安全方案应该具备以下特点：
  
     用户体验好、高性能、低耦合、易于扩展与升级。