如何进行风险分析
运行结构化风险分析所需的一切——从方法与框架,到实用模板与工具。
By Kim Borg, VER&IT 及 RiskNote 创始人。在信息安全与风险管理领域拥有 25 年以上经验。 · Last updated
什么是风险分析?
风险分析是一种结构化方法,用于识别、评估和优先处理可能影响组织目标、资产或职能的风险。 其目的是为合理决策提供依据,明确如何应对风险——通过降低、转移、接受或规避。
一套完整的风险分析包含六个核心要素:
受保护资产
需要保护的内容——信息、人员、财务、品牌、可用性。
威胁与脆弱性
可能出现的问题——从网络攻击、供应商故障到人员短缺。
可能性评估
基于历史记录与环境,评估某件事发生的概率。
后果评估
评估结果的严重程度,以可量化的指标表示(资金、停机时间、客户流失)。
风险评价
将可能性与后果结合,对照组织的风险承受能力进行综合评判。
行动计划
确定应对措施——包含责任人、截止日期与跟进安排。
风险分析是在 ISO 31000、ISO 27005、NIS2、GDPR 和 ISO 27001 等框架下开展系统性安全工作的基础。在某些情境中(尤其是工作场所安全),该过程也称为风险评估——两个术语通常可互换使用。
为什么风险分析至关重要?
风险分析的重要性体现在以下三个方面。
法规合规。 NIS2、GDPR、ISO 27001、DORA 及类似法规均要求有据可查的风险管理。没有风险分析,组织就无法证明其安全工作具有系统性。
资源优先排序。 没有任何组织拥有无限的安全预算。风险分析能够揭示哪些风险真正值得优先处理——基于可能性、后果与应对成本。
为管理层提供决策支持。 风险分析将技术与运营风险转化为管理层和董事会可以据此行动的语言,使安全成为业务议题,而非单纯的 IT 问题。
如何进行风险分析——七个步骤
结构化方法的精简版本。每个步骤均链接至详细说明文章。
第 1 步——识别受保护资产
首先列出组织实际需要保护的内容:信息、可用性、金融资产、品牌、人员、合规。没有受保护资产,风险分析将流于形式。阅读更多:识别受保护资产 →
第 2 步——界定范围
明确界定范围——整个组织、特定流程、某一系统或供应链。确定时间跨度与相关干系人。阅读更多:范围与边界 →
第 3 步——识别威胁与风险
开展系统性、跨职能工作。按受保护资产、威胁类别(网络、物理、人员、供应商、法规)及场景逐一梳理威胁,同时纳入 IT 部门与业务部门的参与。阅读更多:识别威胁与风险 →
第 4 步——评估可能性与后果
使用具有明确定义刻度的 5×5 矩阵。以资金、停机时间、客户流失或其他可量化单位,定义每个级别的实际含义。阅读更多:可能性与后果 →
第 5 步——优先安排行动
最终成果不是矩阵中的红色单元格,而是优先排序的行动清单。针对每项风险选择应对策略:降低、转移、接受或规避。按单位投入所产生的效果进行优先排序。阅读更多:超越矩阵的行动优先排序 →
第 6 步——保持分析持续有效
风险分析并非一次性项目。应定期审查,并在发生事件、变更或新法规要求时及时更新。明确的责任归属至关重要。阅读更多:保持分析持续有效 →
第 7 步——映射至框架
确保风险分析满足适用框架的要求——ISO 27001、NIS2、GDPR、DORA 或其他框架。阅读更多:风险分析与合规 →
[逐步阅读完整主指南 →](/guide/genomfora-riskanalys)
常见框架与标准
不同框架对风险分析的执行方式和文档要求各有侧重。
ISO 31000——通用风险管理
宏观层面的国际风险管理标准,定义原则、框架与流程,是其他标准的基础。了解更多 ISO 31000 →
ISO 27005——信息安全风险
专注于信息安全相关风险,是 ISO 27001 的补充标准,提供详细的风险评估方法论。
ISO 27001——信息安全管理
要求有书面记录的风险评估与风险处置计划。风险分析是认证的核心组成部分。了解更多 ISO 27001 →
NIS2 指令
自 2025 年起在瑞典立法实施。要求关键基础设施、医疗卫生、公共行政等领域的基本实体和重要实体采取风险管理措施。了解更多 NIS2 →
GDPR 与数据保护影响评估(DPIA)
当个人数据处理涉及高风险时,必须开展数据保护影响评估(DPIA)——这是一种特定类型的风险分析。了解更多 GDPR 风险分析 →
DORA——数字运营韧性法案
规范欧盟金融行业的运营韧性,要求建立完善的 ICT 风险管理体系。
MSBFS 2020:6
瑞典民事应急管理局关于国家机关系统性信息安全工作的法规。
[哪个框架适用于您的组织? →](/guide/genomfora-riskanalys#step-7)
总风险、净风险与剩余风险
成熟的风险分析应针对每项风险区分三种风险度量。以下是 ISO 27001 审计人员和董事会所期望看到的术语:
总风险(固有风险)
未采取任何控制或处置措施时的风险。在最坏情况下可能造成多大损失?这是论证投资必要性的关键依据。
净风险 / 剩余风险
纳入现有控制措施后的风险。该值用于与组织的风险承受能力进行比较。
目标风险
在完成计划处置措施后期望达到的风险水平。净风险与目标风险之间的差距,反映了计划行动是否足够。
为何如此重要?若某项风险的总风险较高,但净风险较低(得益于有效控制措施),则需要的是控制维护,而非新的处置措施。在风险登记册指南中阅读更多 →
工具与模板
两类资源助您提速——一个免费 Excel 模板和 RiskNote 应用程序。
可下载的风险分析模板(Excel)
包含 5×5 矩阵、受保护资产清单和行动清单的结构化 Excel 模板——依据 ISO 31000 构建。无需注册,直接下载。下载模板 →
RiskNote——20 分钟内完成 AI 驱动的风险分析
移动应用程序,全程引导完成风险分析。您描述业务情况,AI 根据行业和受保护资产推荐相关风险,20 分钟内生成包含 5×5 矩阵的结构化风险登记册。支持 NIS2、GDPR、ISO 27001 和 ISO 31000,适用于 iOS 和 Android,提供 11 种语言版本。了解更多 RiskNote →
各步骤深度解析
方法中每个步骤的深度资料。
总结
风险分析并非在空白 Excel 表格中填写类别那么简单。它的核心是以结构化方式理解组织需要保护什么、可能出现什么问题,以及哪些行动能以最小投入产生最大效果。
该方法共七个步骤:受保护资产 → 范围 → 威胁与风险 → 评估 → 行动优先排序 → 持续跟进 → 框架映射。
RiskNote 等工具使更多人能够掌握这套方法——但并不取代人工判断。
方法第一。工具第二。安全始终。
如有关于风险分析的问题,或希望探讨 RiskNote 如何适配您的组织?联系我们 →
关于风险分析的常见问题
风险分析应多久更新一次?
风险分析应至少每年修订一次,并在发生重大变更时及时更新——包括新系统、新供应商、组织重组、安全事件或法规要求变化。对于受 NIS2 和 ISO 27001 约束的组织,持续更新是明确的合规要求。
威胁、脆弱性与风险有何区别?
威胁是可能发生的事件(勒索软件攻击、供应商故障)。脆弱性是使威胁得以实现的弱点(不安全的备份、单一供应商依赖)。风险是威胁、脆弱性与受保护资产所受后果的综合体现。
风险分析应采用哪种评估刻度?
5×5 矩阵(可能性 × 后果)是最常见、通常也最实用的选择。刻度本身并非关键——重要的是在评估开始前,以可量化的术语对各级别进行清晰定义。
谁应当负责开展风险分析?
风险分析应以跨职能方式开展——涵盖 IT、业务、管理层,以及可能的外部专家。单一分析人员必然会遗漏重要视角。然而,明确的责任归属不可或缺:必须有人负责推动完成并保持分析的持续有效性。
遵守 NIS2 是否需要进行风险分析?
是的。 NIS2 要求采取风险管理措施,而其基础正是有据可查的风险分析。缺少风险分析,组织就无法证明其安全工作具有系统性——这是明确的合规要求。
风险分析与风险评估有何区别?
这两个术语通常可互换使用。在 ISO 标准中,风险评估是一个总括性概念,涵盖风险识别、风险分析(可能性与后果分析)和风险评价(与准则的对比)。在日常使用中,"风险分析"通常泛指整个过程。
风险分析需要多长时间?
采用传统方法(空白 Excel 表格)时,第一版通常需要数周甚至数月——大量时间耗费在结构设计和类别讨论上。使用 RiskNote 等结构化工具,第一版可在 20 分钟内完成,之后再与业务部门共同细化。
什么是 ISO 31000?
ISO 31000 是国际风险管理标准,提供适用于所有类型风险和所有类型组织的原则与框架——不仅限于信息安全。它通常作为起点,并与 ISO 27005 等更具体的标准结合使用。
风险分析的成本是多少?
成本因方法不同而差异显著。由顾问主导的中型组织风险分析通常需要 10,000 至 50,000 欧元。借助 RiskNote 或同类工具,成本可大幅降低——同时工作也将更具持续性。
More guides
从指南到风险登记册,仅需 20 分钟
RiskNote 将本页所述方法付诸实践,自动化处理应当自动化的环节。您描述业务情况,AI 推荐相关风险,即可获得 5×5 矩阵与行动清单。免费试用。