滲透測試中風險評估是什么

滲透測試中風險評估是指在風險事件發生之前或之后但還沒有結束時評估該事件對各個方面造成的影響和損失的一種量化評估工作，簡單來說風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度，滲透測試過程中一般會出具滲透測試報告和風險評估報告，風險評估報告是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。

風險評價的作用主要表現在：一是更準確地認識風險；二是保證目標規劃的合理性和計劃的可行性；三是合理選擇風險對策，形成最佳風險對策組合。

風險評估常用方法如下：

• 風險因素分析法

  風險因素分析法是指對可能導致風險發生的因素進行評價分析，從而確定風險發生概率大小的風險評估方法。其一般思路是：調查風險源→識別風險轉化條件→確定轉化條件是否具備→估計風險發生的后果→風險評價。

• 內部控制評價法

  內部控制評價法是指通過對被審計單位內部控制結構的評價而確定審計風險的一種方法。由于內部控制結構與控制風險直接相關，因而這種方法主要在控制風險的評估中使用。

• 分析性復核法

  分析性復核法是注冊會計師對被審計單位主要比率或趨勢進行分析，包括調查異常變動以及這些重要比率或趨勢與預期數額和相關信息的差異，以推測會計報表是否存在重要錯報或漏報可能性。常用的方法有比較分析法、比率分析法、趨勢分析法三種。

• 定性風險評價法

  定性風險評價法是指那些通過觀察、調查與分析，并借助注冊會計師的經驗、專業標準和判斷等能對審計風險進行定性評估的方法。它具有便捷、有效的優點，適合評估各種審計風險。主要方法有：觀察法、調查了解法、邏輯分析法、類似估計法。

• 風險率風險評價法

  風險率風險評價法是定量風險評價法中的一種。它的基本思路是：先計算出風險率，然后把風險率與風險安全指標相比較，若風險率大于風險安全指標，則系統處于風險狀態，兩數據相差越大，風險越大。

回答所涉及的環境：聯想天逸510S、Windows 10。