如何开展 风险分析

大家都知道应该做风险分析。问题很少是缺乏意愿，而是从”我们应该做一个”到真正有一份落地的分析，这一步感觉太大了。

它从一张空白页开始。我们要评估什么？有哪些类别？如何设定可能性和后果？一转眼三个月过去了，页面依旧空白。

本指南带您从零到完成风险分析。基于 ISO 31000 和 ISO 27005，但面向实践而非教科书。若想边读边在自己的登记册中操作，可下载 Excel 模板。

在识别任何风险之前，您必须知道您要保护什么。这正是大多数风险分析出错之处：直接开始列举威胁，却没有先理解什么值得保护。

保护资产就是业务离不开的东西。做一个简短盘点：如果它消失、中断或泄露，会发生什么？这就是您的优先级清单。

• 信息

  客户数据、商业机密、个人数据。

• 可用性

  关键系统、流程、交付。

• 财务资源

  收入来源、资产、现金流。

• 品牌与信任

  声誉、客户关系、市场地位。

• 人员

  员工、客户、第三方。

• 合规

  许可证、批准、法律地位。

常见陷阱：一次分析整个业务。结果肤浅且不可用。应明确界定范围、时间跨度以及涉及的利益相关方。

• 范围包含什么？

  整个组织、某个特定流程、一个系统、一条供应链？有深度的有限范围分析总是比无深度的宽范围分析更有价值。

• 时间跨度是多久？

  未来 12 个月、一个项目周期或三年战略展望？时间框架决定可能性如何评估。

• 涉及哪些利益相关方？

  管理层、员工、客户、监管机构？不同的利益相关方有不同的容忍度。

有深度的有限分析始终胜过无深度的宽范围分析。您随时可以做更多。

现在填写页面。区分概念：威胁是可能发生的事情（勒索软件、供应商失败）。漏洞是使威胁成为可能的弱点（不安全备份、唯一供应商）。风险是威胁、漏洞和对保护资产后果的组合。

系统化工作。几个已验证的切入点：

• 按保护资产

  什么可能影响客户数据？什么可能中断可用性？什么威胁品牌？

• 按威胁类别

  网络、物理、人员、供应商、监管、财务。确保广泛覆盖。

• 按场景

  如果服务器宕机会发生什么？如果关键人员离职？如果分包商破产？

让合适的人参与。IT 不了解所有流程，业务不了解所有威胁。跨职能小组的工作坊始终胜过孤立的分析师。

在这里，风险从文字转化为优先级数据。使用适合您业务的量表。5×5 矩阵 在大多数情况下效果最好。

开始评估前先定义量表。”严重后果”到底意味着什么？按金额、停机时间还是客户流失？没有定义，评估就变得随意，也无法跨时间比较。

一个常见误解：风险分析的最终产物是带红色单元格的矩阵。不是。最终产物是一份按优先级排序的行动清单。针对每个识别的风险选择处理策略。

按每份投入的效果排序，而不是仅按风险级别。中等风险配简单方案可能比需要三年投资的高风险更值得优先处理。

被收进文件夹的风险分析第二天就死了。现实在变：新威胁出现、业务发展、行动落实、监管收紧。

可用的风险分析是一个鲜活的过程：

• 定期审查

  至少每年一次，关键领域更频繁。

• 基于触发的更新

  发生事件、变更、新系统、新供应商、新监管要求时。

• 持续跟进

  跟进行动的效果和状态，而不仅是风险清单。

• 明确负责人

  真正负责让它保持更新的人。

对适用 NIS2、ISO 27001 或类似要求的组织来说，鲜活的风险分析不仅是好主意。它是硬性要求。

如果您的业务受特定要求约束，确保风险分析能满足它们。欧洲语境下最常见的：

• ISO 31000

  通用风险管理，原则与框架。阅读 ISO 31000 指南。

• ISO 27005

  专门针对信息安全风险。

• ISO 27001

  要求记录在案的风险评估和处理计划。查看 ISO 27001 指南。

• NIS2

  面向关键和重要实体的风险管理措施。了解 NIS2。

• GDPR (DPIA)

  个人数据处理的影响评估。查看 GDPR 风险分析。

• MSBFS 2020:6

  瑞典公共机构的系统化信息安全工作。

• DORA

  金融行业的运营韧性。

同一份底层风险分析常常可以覆盖多个框架。关键在于如何记录和汇报。

• 1. 从保护资产开始

  知道您实际保护的是什么。

• 2. 界定范围

  深度胜过广度。

• 3. 识别威胁与风险

  系统化、跨职能。

• 4. 评估可能性与后果

  使用定义好的量表。

• 5. 优先排序行动

  不是红色单元格，而是每份投入的效果。

• 6. 让分析保持鲜活

  定期且基于触发。

• 7. 映射到框架

  在需要的地方。