本标准为依据GB/T 24353-2009《风险管理原则与实施指南》开展风险管理的组织提供支持,
用于指导组织选择和应用风险评估技术.
各种类型及规模的组织都会面临各种各样的风险,这些风险有可能影响到其目标的实现。应当对
组织各项活动中存在的风险进行有效管理。
风险管理主要涉及将逻辑性及系统性的方法应用于以下方面:
—贯穿风险管理过程的沟通和记录;
—明确组织环境信息,以便于识别、分析、评价、应对并监控与任何活动、过程、功能或产品等相关
的风险;
—监督和检查风险;
—适当地报告和记录有关结果。
作为风险管理的组成部分,风险评估提供了一种结构化的过程以识别目标如何受各类不确定性因
素的影响,并从后果和可能性两个方面来进行风险分析,然后确定是否需要进一步应对。
风险评估工作试图回答以下基本问题:
—会发生什么以及为什么发生?
—后果是什么?
—这些后果发生的可能性有多大?
—是否存在一些可以减轻风险后果或者降低风险可能性的因素?
—风险等级是否可容许或可接受?是否要求进一步的应对?
本标准旨在反映当前风险评估技术选择和应用的良好实践,但并未涉及那些新出现的、尚在发展中