风险分析与风险评估的区别

许多人并没有区分“评估”和“分析”，但两者之间有一个重要的区别。

从FAIR （信息风险因子分析）模型的角度来看，风险分析通常是更大风险评估过程的子组成部分。

更广泛的风险评估流程通常包括： 

     • 识别导致风险的问题，

     • 分析它们的重要性，

     • 确定处理风险问题的选项，

     • 确定哪个选项可能最合适（应用 FAIR 的另一个机会），以及

     • 向决策者传达结果和建议。 

正如所看到的，“分析”是关于评估重要性和/或对选项进行比较。

不幸的是，今天在风险管理中看到的大部分内容都是评估，而没有有意义（或准确）的分析。其结果是优先级信息不充分，决策成本低效。 

底线——任何风险分析的目的都是为决策者提供有关损失风险及其处理选项的最佳信息。

NIST 不区分“风险评估”和“风险分析”：
“风险评估 [NIST SP 800-39]
识别、估计和优先考虑组织运营风险（包括使命、职能、形象、声誉）、组织资产、个人、其他组织和国家，由信息系统的运行产生。
风险管理的一部分，包含威胁和漏洞分析，并考虑计划或到位的安全控制提供的缓解措施。与风险同义分析。”

因此，当我阅读 NIST 的任何内容或使用 NIST SP 800-30r1 和 NIST SP800-39 完成的任何研究时，我需要结合上下文来获取信息，以确定结果是来自总体风险评估还是来自个体风险分析。

信息风险因子分析（FAIR TM）是信息安全和操作风险唯一的国际标准量化模型。

• FAIR 提供了一个从财务角度理解、分析和量化网络风险和操作风险的模型。

• 与风险评估框架不同，风险评估框架将其输出集中在定性彩色图表或数字加权尺度上。

•  它为开发稳健的信息风险管理方法奠定了基础。