风险评估的基本原则,公共风险评估

4.1.3　公共风险评估

风险识别之后，接着需要做的就是风险评估，风险评估是风险管理的重要环节，也是公共危机管理工作的重要组成部分。国家《突发事件应对法》明确规定建立重大突发事件风险评估体系。

1.公共风险评估的定义

关于风险评估的定义，有的观点认为，风险评估就是对识别后所存在的风险做进一步的分析和度量，也就是对某一特定的公共风险的性质、发生的可能性以及可能造成的损失进行估算、测量。有的观点认为，“风险的评估是指对风险程度的度量和评级，它包括对风险事件在给定时间内发生的可能性的估计，以及对风险暴露——即风险事件一旦发生，可能造成的后果的估计”。^[4]还有的观点认为，风险评估是指通过识别分析风险发生的概率和可能的后果，确定风险级别，并制订哪些风险需要控制以及如何控制的过程。公共风险评估是指在公共风险识别的基础上，应用一定的方法对所收集的大量的信息加以分析，估计和测定公共风险发生的可能性及其影响程度，确定其风险级别和管理优先级的过程。这一过程又包括两个方面:风险分析和风险评价。风险评估的任务具体包括识别系统面临的各种风险、评估风险概率和可能带来的负面影响、确定系统承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策等。

2.公共风险评估的原则

在公共风险评估过程中，主要有以下几项原则应当遵守:(1)整体性或系统性原则。整体性原则是风险评估的最基本原则。风险造成的损失往往是多方面的，风险评价必须考虑整体，系统地考虑造成损失的各种因素，并研究这些因素之间的相互作用，因此，在评价潜在损失程度时，由同一事件所引起的各方面的损失必须一起考虑。进行风险评估时，应该全面系统地收集信息，综合考虑各种因素，在此基础上开展评估。因此，在进行风险评估时，必须从系统的角度出发，尽可能全面、充分地考虑各种风险的相关性、叠加性。影响风险评估的因素包括评估时间、力度、展开幅度和深度，这些都需要综合考虑。(2)统一性原则。风险评估是针对某一风险事件或者风险单位进行的，这就要求风险评估要保持统一性的原则，不能将与风险因素或者风险单位无关的材料考虑进去，作为风险评估的依据。同时，风险评估工作要有统一的组织领导，最好由专门的评估机构或是委员会负责组织风险评估工作。(3)客观性原则。风险评估的方式和方法是多种多样的，不同的衡量和评估风险的方法可以获得不同的结果，这是不可避免的。风险评估的原则是尽可能使风险预测、评估的结果与实际发生的损失相一致，尽可能反映客观存在的风险。偏差过大，会造成不必要的损失。同时，我们也不能盲从权威或出于部门利益的考虑而故意放大或缩小风险。(4)可操作性原则。风险评估是涉及面广，管理难度较大的项目。这就要求风险管理人员掌握评估方法，灵活运用风险评价方法，对风险的评价要具有操作性和通用性，避免运用高深繁杂的评价方法。(5)规范化原则。公共风险评估的规范化是指进行风险评估所使用的方法和程序等应有一个统一规范的基本准则，其中包括评估程序、评估方法、评估指标体系等方面的内容。规范化有利于信息交流沟通，有利于不同风险、不同地区的比较对照。(6)动态性原则。公共风险是处于不断运动变化之中的，风险评估得出的结论具有一定的时效性。因此，我们必须持续地进行监测，动态性地进行评估，不断发现新的风险，及时采取应对措施。不断通过先进的监测技术装备，对公共风险进行持续跟踪，不断地获取、处理数据，为进行风险评估奠定坚实的基础。

3.公共风险评估途径与方法

目前的风险评估途径一般包括基线评估、详细评估和组合评估三种。关于基线评估，如果系统运作不是很复杂，并且对信息处理和网络的依赖程度不是很高，或者组织信息系统采用普遍且标准化的模式，基线风险评估就可以直接而简单地实现基本的安全水平，并且满足系统环境的所有要求。基线风险评估，系根据自己的实际情况，对信息系统进行安全基线检查，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。关于详细评估，它要求对风险进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。关于组合评估，鉴于基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般风险的评估;详细评估准确而细致，但耗费资源较多，适合严格限定边界、较小范围内评估的特点。目前多采用二者结合的组合评估方式。这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且系统的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。但组合评估也有缺点，如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。

在风险评估过程中，可以采用多种操作方法:一是基于知识(Knowledgebased)的分析方法，又称作经验方法;牵涉对来自类似系统的“最佳惯例”的重用，适合一般性的信息安全社团。二是基于模型(Model-based)的分析方法;系统不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别系统的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。三是定性(Qualitative)分析。四是定量(Quantitative)分析。无论何种方法，共同的目标都是找出面临的风险及其影响，以及目前安全水平与系统安全需求之间的差距。^[5]

4.公共风险评估流程

风险评估的类型分为定性、半定量和定量评估三种类型。实际运用中，大多数是把这三种类型结合在一起使用。具体的评估流程通常如下:(1)制订总的风险评估计划。“总体的风险评估计划是对风险评估的领域、部门、职责和程序等的一个总体的规定和解释，是具体风险评估工作的指南。总体风险评估计划的制订应该注意以下五个方面:一是总体的评估计划规定各部门风险评估的领域(哪些地区、哪些危机需要评估)、责任范围、评估的基本原则和指导方针、评估工作的标准程序、评估信息的报告和交流渠道。二是总体评估计划明确在什么时候风险评估的重点发生变化。三是总体风险评估计划应针对不同类型危机，制订具体的危机风险评估计划，作为总体计划的细化。四是总体风险评估计划的制订要注意实际评估部门的参与，保证评估计划的实用性。五是总体风险评估计划应明确管理不同风险的责任。”^[6](2)建立风险评估标准。对风险的准确评估是建立在科学合理的评估标准上的，单个风险和整体风险都需要确定评估标准，这种评估标准就是针对每一种风险后果而确定的可接受水平。风险的可接受水平可以是绝对的，也可以是相对的。这是风险评估的前提条件。这就要求风险评估主体必须根据实际情况建立风险评估标准。(3)损失概率分析。在对损失概率，即公共风险发生的可能性进行估算和分析时，需要综合考虑风险单位数、损失形态、损失事件(或原因)三方面的因素。这三项因素的不同组合，会使风险损失概率的大小有所不同。(4)损失程度评价。损失程度的评价，即对风险事件后果的严重程度进行分析和估计。在对损失程度进行评估时，主要从三个方面衡量:损失性质、损失范围和损失时间分布。(5)绘制风险坐标图。根据风险事件的损失概率分析和损失程度评价绘制风险坐标图。风险坐标图的作用主要是用来确定风险管理的优先顺序和策略。在具体应用中，为了准确地绘制风险坐标图，一般而言，依据风险坐标图，就基本可以在总体上制订风险管理的策略了。(6)风险发展趋势评估。由于公共风险总是处于动态变化中的，其发生的概率及其影响程度也是动态的，因此我们在公共风险的识别、评估过程中始终需要充分考虑其动态性。换句话说，我们有必要对风险进行趋势评估，进而完善风险坐标图，确保后续制订风险策略的科学性。