风险评估的步骤是怎样的？风险评估的注意事项与核心问题

　　导语：从信息安全的角度来讲，风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。那我们具体说说：风险评估的步骤是怎样的?风险评估的注意事项有哪些?风险评估的核心问题

　　一、风险评估的步骤是怎样的?

　　1、头脑风暴，列出所有风险因素

　　围绕项目工作，邀请项目执行人员，组织管理人员及督导参与讨论，使用头脑风暴法罗列所有可能涉及到的风险因素。

　　2、总结梳理，初步筛选风险事件

　　把风险因素进行初步筛选，分类，将其表述、精炼为风险事件。

　　3、制作量表，评价风险事件

　　制作风险事件评分量表，其中包括7个因子，包括可能性、组织或人员伤害、社会负面评价、服务负面影响、回应速度、内部能力、外部支持。其中防范与应对能力与风险值负相关。

　　4、分析结果，排序风险事件

　　组织项目人员、管理人员及督导对每项风险事件进行评分，接下来对评分结果进行统计处理(列出每个因子的得分均值)，计算风险值(公式：风险值(%)=可能性/3*(损失严重性+防范与应对能力)/18*100%)，根据风险值进行风险事件排序。

　　5、焦点小组，制定应对策略

　　优先处理排名靠前的风险事件。针对不同的风险类型，组建焦点小组，例如财务管理风险，邀请财务相关人员加入焦点小组，共同商讨行之有效的商讨和防范措施。

　　二、风险评估的注意事项有哪些?

　　1. 确定保护的对象(或者资产)是什么?它的直接和间接价值如何?

　　2. 资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?

　　3. 资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何?

　　4. 一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响?

　　5. 组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?

　　三、风险评估的核心问题

　　1、客户历史表现情况，如果历史上客户是好客户，那么他是好客户的概率就比较高一些。(此处的好并非狭义的指客户的历史借还情况，也包括社会规范上的好，比如其他的履约情况、客户的学习等属性)

　　2、客户周围的人是好客户还是坏客户?物以类聚、人以群分，或者说近朱者赤近墨者黑，如果客户经常和好客户在一起，那么客户是好客户的概率就会比较高一些

　　3、如果即没有客户的历史信息，也没有周围人的信息，那么我们靠什么来判定?举个例子，比如你家附近来了一个陌生人，最近傍晚在你家附近鬼鬼祟祟的，那你是不是可能就会采取一些措施来进行预防。所以这里我理解，靠的是客户表现出来的异常信息来判定。

　　在这3个指引下，我们就需要进一步继续往下开展工作：

　　1、寻找客户内外部数据。那些特征能体现客户的还款能力，那些特征能体现客户的还款意愿，将其转换成相关的数据信息，并在内部数据和外部市场上进行整理和寻找。此外，现在手机是必备的一个工具，可以看看APP安装排行，看看这些和客户的还款能力和还款意愿是否有相关性，在市场上了解下这些公司是否有数据输出业务。

　　2、建立客户的关联关系网络，对客户的关联关系特征进行梳理和评价

　　3、寻找客户从接触你开始到注册、申请、提现等过程中表现出来的行为信息，看看那些属于正常的，那些属于可疑的，并采集、加工成对应特征信息。