电子政务信息安全风险评估方法研究

时间：2022-12-09 08:52:49 其他范文收藏本文下载本文

以下是小编精心整理的电子政务信息安全风险评估方法研究，本文共9篇，供大家参考借鉴，希望可以帮助到有需要的朋友。

电子政务信息安全风险评估方法研究

篇1：电子政务信息安全风险评估方法研究

电子政务信息安全风险评估方法研究

摘要：电子政务信息系统安全的重要性与日俱增,电子政务信息安全风险评估方法层出不穷.本文对目前主要的电子政务信息安全风险评估方法进行了综述性讨论,在分析了几种重要方法的.优、缺点的基础上,提出了基于主成分BP人工神经网络评估模型,将BP神经网络的动态学习性应用于复杂的电子政务信息安全评估.作者：雷战波胡安阳作者单位：西安交通大学,陕西,西安,710049 期刊：中国信息界 Journal：CHINA INFORMATION TIMES 年，卷(期)：, “”(6) 分类号：X9 关键词：电子政务信息安全动态评估主成分分析 BP神经网络

篇2：论文：电子政务信息安全研究

随着电子政务应用的不断深入，信息安全问题日益凸显，为了高效安全的进行电子政务，迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行，另一方面要保护运行在内部网上的敏感数据与信息的安全，因此应充分保证以下几点：

1.1基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性：对于内部网络，保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题，通常是将基于公钥证书（PKC）的PKI（PublicKeyInfrastructure）与基于属性证书（AC）的PMI（PrivilegeManagementInfrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限，许多用户也可能有相同的权限集，这些权限都必须写入属性证书的属性中，这样就增加了属性证书的复杂性和存储空间，从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题，作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成，在该模型中：

2.1终端用户：向验证服务器发送请求和证书，并与服务器双向验证。

2.2验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。

2.3应用服务器：与资源数据库连接，根据验证通过的用户请求，对资源数据库的数据进行处理，并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器：该模型中采用两个LDAP目录服务器，一个存放公钥证书（PKC）和公钥证书吊销列表（CRL），另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子，其他文献，例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法，另外，一些组织还提出了自己的`风险评估工具，例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南，从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中，资产的评估主要是对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动，主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

在确定风险评估方法后，还应确定接受风险的准则，识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别，包括:办公手段不同，信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同，实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同，直接与公众沟通是实施电子政务的目的之一，也是与传统政务的重要区别。在电子政务的信息安全管理中，要抓住其特点，从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案，这样才能达到全方位实施信息安全管理的目的。

参考文献：

[1]范红，冯国登，吴亚非.信息安全风险评估方法与应用.清华大学出版社..

[2]李波杰，张绪国，张世永.一种多层取证的电子商务安全审计系统微型电脑应用.05期.

[3]赵晖.网络安全中的安全审计技术.集团经济研究.23期.摘要:长期以来，在电子政务信息安全建设方面，存在着重技术轻管理的问题。信息安全并不是技术过程，而是一个综合防范的过程，安全技术应由适当的安全管理体系来支持。在信息安全保障工作中必须管理与技术并重，进行综合防范，才能有效保障安全。本文旨在提出了一种电子政务安全解决方案。首先，分析了电子政务面临的威胁和挑战;其次，对电子政务安全保障体系进行探讨;再次，讨论了电子政务安全等级保护思想和风险评估方法。

篇3：电子政务网信息安全风险评估研究论文

一、研究的意义

伴随着计算机通信技术的广泛应用，信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求，行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展，为了提高政府的行政效能和行政管理水平，我国正在加快对电子政务网的建设。在新的时代条件下，开放和互联的发展带来信息流动的极大便利，同时，也带来了新的问题和挑战。电子政务系统上所承载的信息的特殊性，在网络开放的条件下，尤其是公共部门电子政务信息与资产，如果受到不法攻击、利用，则有可能给国家带来损失，也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段，电子政务网在稳定性、安全性方面，比普通信息网要求更高。对信息安全风险进行评估，是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型，不仅有助于维护政府信息安全，也有助于防止现实与潜在的风险。

二、国内外研究状况

当前，国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。

(一)国外研究现状。在风险评估标准方面，1993年，美、英、德等国国家标准技术研究所与各国国家安全局制定并签署了《信息技术安全通用评估准则》。形成了信息安全通用准则2．0版，形成了CC2．1版，并被当作国际标准(150/IEC15408)。CC分为EALI到EAL7共7个评估等级，对相关领域的研究与应用影响深远。之后，风险评估和管理被国际标准组织高度重视，作为防止安全风险的手段，他们更加关注信息安全管理和技术措施，并体现在相继于和发布的《信息技术安全管理指南》(150/IECTR13335标准)和《信息技术信息安全管理实用规则》(150/IEC177799)中。与此同时，全球在信息技术应用和研究方面较为发达的国家也纷纷研发符合本国实际的风险管理标准。如美国国家标准与技术局自1990年以来，制定了十几个相关的风险管理标准。进入二十一世纪初，美国又制定发布了《IT系统风险管理指南》，细致入微地提出风险处理的步骤和方法。与，美国防部相继公布了《信息(安全)保障》指示(8500l)及更加完备的《信息(安全)保障实现))指令(55002)，为国家防务系统的安全评估提供了标准和依据。随着信息安全标准的广泛实施，风险评估服务市场应运而生。继政府、社会研究机构之后，市场敏锐的产业界也投入资金出台适应市场需求风险评估评估体系和标准。例如美国卡内基梅隆大学的OCTAVE方法等。在风险评估方法方面，目前许多国内外的学者运用神经网络、灰色理论、层次分析法、贝叶斯网络、模糊数学、决策树法等多种方法，系统研究并制定与开发了不同类型、不同用途的风险评估模型，这些模型与方法虽然具备一定的科学依据，在不用范围和层面的应用中取得一定成果，但也存在不同程度的不足，比如计算复杂，成本高，难以广泛推广。

(二)国内相关研究现状。我国的研究较之国外起步稍晚，尽管信息化浪潮对各国的挑战程度不同，但都深受影响。20世纪90年代末，我国信息安全标准和风险评估模型的研究已广泛开展。但在电子政务网上的应用却是近几年才开始引发政府、公众及研究机构的关注。任何国家都十分重视对信息安全保障体系的宏观管理。但政府依托什么来宏观控制和管理呢?实际上就是信息安全标准。所以在股价战略层面看，用哪个国家的标准，就会带动那个国家的相关产业，关系到该国的经济发展利益。标准的竞争、争夺、保护，也就成为各国信息技术战场的重要领域。但要建立国内通行、国际认可的技术标准，却是一项艰巨而长期的任务。我国从20世纪80年代开始，就组织力量学习、吸收国际标准，并逐步转化了一批国际信息安全基础技术标准，为国家安全技术工作的发展作出了重要贡献。信息安全技术标准的具体研究应用，首先从最直接的公共安全领域开始的。公安部首先根据实际需要组织制定和颁布了信息安全标准。19颁布了《计算机信息系统安全保护等级划分准则》(GB17859一);援引CC的GB/T18336一，作为我国安全产品测评的标准;在此基础上，20完成了《风险评估规范第1部分:安全风险评估程序》、《风险评估规范第2部分:安全风险评估操作指南》。同时，公安部以上述国家标准为依据，开展安全产品功能测评工作，以及安全产品的性能评测、安全性评测。在公安部的带动下，我国政府科研计划和各个行业的科技项目中，都列出一些风险评估研究项目，带动行业技术人员和各部门研究人员加入研究行列，并取得一些成果。这些成果又为风险评估标准的制定提供了丰富的材料和实践的依据。同时，国家测评认证机构也扩展自己的工作范围，开展信息系统的安全评测业务。204月15日，全国信息安全标准化技术委员会正式成立。为进一步推进工作，尽快启动一批信息安全关键性标准的研究工作，委员会制定了《全国信息安全标准化技术委员会工作组章程(草案)》，并先后成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)等10个工作组。经过我国各部门和行业的长期研究和实践，积累了大量的成果和经验，在现实需求下，制定我国自己的风险评估国家标准的条件初步成熟。，国信办启动了我国风险评估国家标准的制定工作。该项工作由信息安全风险评估课题组牵头制定工作计划，将我国风险评估国家标准系列分为三个标准，即《信息安全风险管理指南》、《信息安全风险评估指南》和《信息安全风险评估框架》。每个标准的内容和规定各不相同，共同组成国家标准系列。《信息安全风险管理指南》主要规定了风险管理的基本内容和主要过程，其中对本单位管理层的职责予以特别明确，管理层有权根据本单位风险评估和风险处理的结果，判断信息系统是否运行。《信息安全风险评估指南》规定，风险评估包括的特定技术性内容、评估方法和风险判断准则，适用于信息系统的使用单位进行自我风险评估及机构的评估。《信息安全风险评估框架》则规定，风险评估本身特定的概念与流程。

三、研究的难点及趋势

电子政务网的`用户与管理层不一定具备计算机专业的技能与知识，其操作行为与管理方式可能造成安全漏洞，容易构成网络安全风险问题。目前存在的风险评估体系难以适应电子政务安全运行的基本要求，因此结合电子政务网涉密性需求，需要设计一种由内部提出的相应的评估方法和评估准则，制定风险评估模型。当前存在的难点主要有:一是如何建立风险评估模型体系来解决风险评估中因素众多，关系错综复杂，主观性强等诸多问题，是当前电子政务网络信息安全评估研究的重点和难点。二是评估工作存在评估误差，也是目前研究的难点和不足之处。误差的不可避免性，以及其出现的随机性和不确定性，使得风险评估中风险要素的确定更加复杂，评估本身就具有了不确定性。从未来研究趋势看，一是要不断改进风险评估方法和风险评估模型。有研究者认为，要充分借鉴和利用模糊数学的方法，建立OCTAVE电子政务系统风险评估模型。它可以有效顾及评估中的各项因素，较为简易地获得评估结果，并消除其中存在的主观偏差。二是由静态风险评估转向动态风险评估。动态的风险评估能够对电子政务信息安全评估进行较为准确的判断，同时可以及时制止风险进一步发生。在动态模型运用中，研究者主要提出了基于主成分的BP人工神经网络算法，通过对人工神经网络算法的进一步改进，实现定性与定量的有效结合。

参考文献：

［1］陈涛，冯平，朱多刚．基于威胁分析的电子政务信息安全风险评估模型研究［J］．情报杂志，，8:94～98

［2］雷战波，胡安阳．电子政务信息安全风险评估方法研究［J］．中国信息界，，6

［3］余洋．电子政务系统风险评估模型设计与研究［D］．成都理工大学，

［4］周伟良，朱方洲，电子政务系统安全风险评估研究［J］．电子政务，，29:67～68

［5］赵磊．电子政务网络风险评估与安全控制［D］．上海交通大学，2011

［6］汪洋．自动安全评估系统的分析与设计［D］．北京邮电大学，2011

［7］杨瞾喆．云南省电子政务信息安全保障体系研究［D］．云南大学，

［8］陈伟奇．政府网络安全风险评估［J］．信息安全，，9:144～145

篇4：地质灾害风险评估研究

地质灾害风险评估研究

地质灾害风险评估是一个复杂的`系统工程,在回顾地质灾害研究的基础上,提出了地质灾害风险评估的思路、内容和方法,比较全面地阐述了风险评估的内容和方法,提出了一些新的思路,对地质灾害风险评估能起到一定的帮助作用.

作者：孙锡年 SUN Xinian 作者单位：湖北省水文地质工程地质大队,湖北,荆州,434020 刊名：资源环境与工程英文刊名：RESOURCES ENVIRONMENT & ENGINEERING 年，卷(期)： 23(4) 分类号：P694 关键词：地质灾害风险评估内容方法

篇5：信息安全风险评估方法论文

【摘要】随着信息化的逐步深化、扩展，信息系统的安全性和可用性显得愈来愈重要。本文基于电网企业开展的信息安全风险评估工作，对信息安全风险评估的评估实施流程、评估实施方法及其在信息系统生命周期不同阶段的实施要点进行浅要分析。

【关键词】信息系统;信息安全;风险评估;评估方法

一、信息安全风险评估的评估实施流程

信息安全风险评估包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议，在风险评估之后就是要进行安全整改。

网省公司信息系统风险评估的主要内容包括：资产评估、威胁评估、脆弱性评估和现有安全措施评估，一般采用全面风险评估的方法，以安全顾问访谈、管理问卷调查、安全文档分析等方式，并结合了漏洞扫描、人工安全检查等手段，对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估，经过充分的分析后，得到了信息系统的安全现状。

二、信息安全风险评估实施方法

2.1 资产评估

网省公司资产识别主要针对提供特定业务服务能力的应用系统展开，通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。

综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。

2.2 威胁评估

威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中，根据各单位业务系统的具体系统情况，结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查，下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述：

2.3 脆弱性评估

脆弱性评估内容包括管理、运维和技术三方面的内容，具体实施可参照公司相应的技术或管理标准以及评估发起方的要求，根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考：

管理脆弱性：安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。

运维脆弱性：信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。

技术脆弱性：网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。

管理、运维、技术三方面脆弱性是相互关联的，管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生，运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行，运维和管理的.脆弱性主要通过访谈和调查问卷来发现。此外，对以往的安全事件的统计和分析也是确定脆弱性的主要方法。

三、现有安全措施评估

通过现有安全措施指评估安全措施的部署、使用和管理情况，确定这些措施所保护的资产范围，以及对系统面临风险的消除程度。

3.1 安全技术措施评估

通过对各单位安全设备、防病毒系统的部署、使用和管理情况，对特征库的更新方式、以及最近更新时间，设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析，并确定级别。

3.2 安全管理措施评估

访谈被评估单位是否成立了信息安全领导小组，并以文件的形式明确了信息安全领导小组成员和相关职责，是否结合实际提出符合自身发展的信息化建设策略，其中包括是否制定了信息安全工作的总体方针和安全策略，建立健全了各类安全管理制度，对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。

3.3 物理与环境安全

查看被访谈单位信息机房是否有完善的物理环境保障措施，是否有健全的漏水监测系统，灭火系统是否安全可用，有无温湿度监测及越限报警功能，是否配备精密空调严格调节控制机房内温度及湿度，保障机房设备的良好运行环境。

3.4 应急响应与恢复管理

为正确、有效和快速处理网络信息系统突发事件，最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响，需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制，应对网络信息系统突发事件的组织指挥能力和应急处置能力，是否及时修订本单位的网络信息系统突发事件应急预案，并进行严格的评审、发布。

3.5 安全整改

被评估单位根据信息安全风险评估结果，对本单位存在的安全风险进行整改消除，从安全技术及安全管理两方面，落实信息安全风险控制及管理，确保信息系统安全稳定运行。

四、结语

公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施，各单位结合风险评估实践情况，以技术促安全、以管理保安全，确保公司信息系统稳定运行，为公司发展提供有力信息支撑。

参考文献

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，

[2]国务院信息办信息安全风险评估课题组[R]，信息安全风险评估研究报告，

篇6：信息安全风险评估方法论文

【摘要】本文介绍了信息安全风险评估的基本概述，信息安全风险评估基本要素及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁，完成自己的风险评估实践。

【关键词】信息安全;风险评估

1 企业信息安全风险评估概述

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的风险大小而评估的。

对信息安全进行风险分析和评估的目的就是：企业能知道信息系统中是否有安全隐患的存在，并估测这些风险将会造成的安全威胁与可能造成的损失，经过这些判断来决定修复或者对于安全信息系统的建立。

信息系统风险分析和评估能够有效的保护企业信息，但同时它也是一个较为复杂的过程，建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规。

2 企业信息安全风险评估的作用

信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现，它能够把信息化工作的安全控制关口前移，超前防范。

针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估，这样能够在第一时间发现各种所存在的安全隐患，然后再运用科学的方法对风险进行分析，从而解决信息化过程中不同层次和阶段的安全问题。

在信息系统的规划设计阶段，信息安全风险评估工作的实行，可以使企业在充分考虑经营管理目标的条件下，对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求，有效的避免事后的安全事故。

这种信息安全风险评估是必不可少的，它很好地体现了“预防为主”方针的具体体现，可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处，从而促进其进一步又好又快发展。

3 信息安全风险评估的基本要素

篇7：投资风险评估方法

一、风险因素分析法

风险因素分析法是指对可能导致风险发生的因素进行评价分析，从而确定风险发生概率大小的风险评估方法。其一般思路是：调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。

二、模糊综合评价法

三、内部控制评价法

内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关，因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤：

四、分析性复核法

分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析，包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异，以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。

五、定性风险评价法

定性风险评价法是指那些通过观察、调查与分析，并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点，适合评估各种审计风险。主要方法有：观察法、调查了解法、逻辑分析法、类似估计法。

六、风险率风险评价法

风险率风险评价法是定量风险评价法中的一种。它的基本思路是：先计算出风险率，然后把风险率与风险安全指标相比较，若风险率大于风险安全指标，则系统处于风险状态，两数据相差越大，风险越大。

风险率等于风险发生的频率乘以风险发生的平均损失，风险损失包括无形损失，无形损失可以按一定标准折换或按金额进行计算。风险安全指标则是在大量经验积累及统计运算的基础上，考虑到当时的科学技术水平、社会经济情况、法律因素以及人们的心理因素等确定的普遍能够接受的最低风险率。风险率风险评价法可在会计师事务所以及注册会计师行业风险管理中使用。

篇8：投资风险评估方法

项目投资风险评估报告是在全面系统分析目标企业和项目的基础上，按照国际通行的投资风险评估方法，站在第三方角度客观公正地对企业、项目的投资风险进行分析。投资风险评估报告包含了投资决策所关心的全部内容，如企业详细介绍、项目详细介绍、产品和服务模式、市场分析、融资需求、运作计划、竞争分析、财务分析等内容，并在此基础上，以第三方角度，客观公正地对投资风险进行评估。

客观性：

项目评估是在项目主办单位可行性研究的基础上进行的再研究，其结论的得出完全建立在对大量的材料进行科学研究和分析的基础之上。在评估实施过程中，既要对可行性研究报告的编制依据及全部数据进行查证核实，又要根据项目评估的内容和分析要求，深入企业和现场进行调查，以搜集新的数据和材料，以专家的学识确保所有项目资料客观详实。同时项目评估涉及项目投资的工艺设备、技术物资支持、财务分析以及未来市场预测等多个领域，评估人员必须以宏观地理解和掌握相关学科知识为前提，客观公正地评价和处理评估中的每一个细节，并在评估报告中客观公正地表述出来。

是科学性：

首先要有一个科学的态度。项目评估是项目建设前的一项决定性工作，它的任何失误都可能给企业、给国家带来不可估量的损失，因此评估人员必须持有对国家、对企业高度负责的、严肃的、认真的、务实的精神，以战略家的眼光，将项目置于整个国际国内大市场进行纵向分析和横向比较，坚决避免盲目建设、重复建设等现象的发生，使项目建成后确实能够创造良好的效益，发挥应有的作用。同时要使用科学的方法，在评估工作中，注意全面调查与重点核查相结合，定量分析与定性分析相结合，经验总结与科学预测相结合，以保证相关项目数据的客观性、使用方法的科学性和评估结论的正确性。

必要性：

必要性评价又称背景分析，即分析项目在科学研究和经济建设中的意义和地位，从而明确目标项目是否有建设的必要。该指标突出考察的是项目对国民经济和社会发展所能做出的贡献大小。

项目的投资方向：

一个好的项目必须做到四个“符合”和三个“有利于”：即符合国家的方针政策和国民经济的战略部署;符合项目所属行业的发展要求和方向;符合项目实施地区的经济发展特点和总体规划;立项的所有手续要符合国家有关项目管理的规定。项目的建设要有利于项目实施地区、所在行业乃至国家宏观经济结构的调整;要有利于开发利用新的科学技术和新的产品;要有利于扩大对外贸易和出口创汇。

产品的市场需求：

无论是新建项目，还是改建、扩建项目，其目的不外乎引进新的设备和技术，扩大生产规模和改进生产工艺，以增加产品产量和提高产品质量。但其最终落脚点都是赢得市场以追求企业效益最大化。因此，项目评估的一个重点内容，就是科学地评价项目的市场前景。要通过对项目市场调查和市场预测有关数据的综合分析，客观地评价产品质量、性能、价格、市场分布状况及未来相当长一段时期内的发展走向，从而为项目建设的正确决策奠定基础。

可行性：

即考察项目是否具有建设的可能：

如果项目缺乏建设的技术、经济或其他物质基础，那么一切都是空话。1983年国家颁布的《关于建设项目可行性研究的试行管理办法》规定，建设项目可行性研究的内容应包括八个方面：①市场需求调查分析;②拟建或改扩建规模;③技术工艺设备和生产条件研究;④厂址方案与建厂条件;⑤劳动力的来源、素质及职工业务技术培训;⑥工程建设实施计划及生产计划;⑦技术经济指标及财务效益分析;⑧投资效益和社会影响研究。对照上述内容，项目可行性评估的重点主要有两个子指标：

经济的可行性：

依据1993年国家计划委员会颁布的《建设项目经济评价方法与参数》，在新建、改建或扩建项目的财务效益和国民经济效益方面，“投资利润率”、“投资利税率”、“内部收益率”和“净现值”四个指标必须达到规定的衡量标准，这些都要一一作出分析和评价。在项目经费管理方面，要重点考察投资估算的准确性和项目资金的落实情况，并且要对项目的投资风险作出科学的评估，以避免出现重大投资失误。