心理健康风险评估多久做一次,风险评估除每年定期评估一次外,遇到哪些情况应再次进行评估
1、风险评估除每年定期评估一次外,遇到哪些情况应再次进行评估
任务占坑
这从为两个部分出发进行评估
第
一、外部环境,行业前景,市场潜力等
第
二、内部管理,企业文化和分配机制,团队的凝聚力、战斗力以及创始人的综合考评都涵盖
评估应该阶段性不定期根据市场和企业的情况来定,这个原理就如同消防员是防火的而不是救火的,请采纳!
2、如何提高信息安全风险评估效果和效率?
一、对风险评估的认识过程
实际上,我们对风险评估的认识是经历了一个逐步深化和清晰的过程,在工作过程中也曾经有过很多的疑问,在此简单介绍一下,如果您也有过同样的经历或者正在经历这个过程,那么我想在本文下面几节所阐述的内容和观点,也许对您将有所帮助。
我们对于风险评估的认识可以分为三个阶段:第一阶段——盲目期,在刚刚接触风险评估时,认为这个能够简单、定量的刻画评估信息安全风险的方法非常实用有效,因此在所有项目中都引导和建议客户做风险评估;第二个阶段——质疑期,随着在项目中的应用,逐渐发现了很多实际操作问题,同时也面临客户对于此方法的很多挑战,例如:资产赋值标准、风险计算方法等等,有些问题由于自己认识的不到位也无法给出合理的解释,以致对风险评估工作本身产生了质疑;第三个阶段——探索期,由于风险评估是信息安全的理论基础之一,如果没有前期的风险评估工作成果,则包括信息安全规划、安全工作落实等工作就失去了方向和依据,所以开始结合这些年在工作中遇到的问题和经验,重新对风险评估的意义、价值进行思考,对评估方法重新进行尝试和探索。
由于受篇幅限制,本文仅进行概括性的阐述。我们在谷安天下的顾问培训班中也会进行风险评估方法论的详细讲解和探讨。
二、信息资产与资产价值
(1)不要把信息资产识别与组织的资产管理混为一谈
信息资产识别和资产管理的目的和范围是不同的。组织的资产管理是站在资产财务角度来考虑的,重点在于登记、管理组织资产的财务属性,用于清算、核实组织的运行情况。而信息安全风险评估工作中的资产识别,是站在信息资产保护的视角上,来考虑信息资产的机密性、可用性、完整性受到破坏后对组织的影响。所以说,二者的关注点是截然不同的,不要试图在风险评估工作中搜集和识别所有资产管理范围内的资产及其相关属性。有些客户往往在风险评估中花了大量的工作在资产搜集上,反而忽视了对于关键信息资产风险的识别、控制与管理,实际上是舍本逐末,效果自然是事倍功半。
(2)信息资产范围与分类。
风险评估首要工作就是要识别信息资产。观点一:识别关键信息资产即可,尤其是第一次做风险评估时对于信息资产比较多的组织,不要试图识别所有信息资产,可以在以后的风险评估过程中逐步完善。观点二:识别信息资产时要结合组织情况,同样资产对于不同组织识别信息资产结果可能是不同。举个例子,对于一般组织投影仪完全可以不作为信息资产来识别,然而对于从事培训工作的组织来说,投影仪就可能被识别为关键信息资产。观点三:相关标准、规范对于信息资产分类和范围的定义可以参考,不要盲从。应结合组织特点制定符合组织实际情况的、可操作的信息资产分类和范围,可以在标准的基础上进行增加、对于不适用的可以删减、或对于某一资产类进行细化(细化的程度以可操作为宜,具有相同威胁和脆弱性的资产可以归为一类),等等。目的是使后续威胁、脆弱性识别与风险分析等工作得以简化和更具可操作性。
(3)信息资产属性与分级
在风险评估中,信息资产相对价值由机密性、完整性和可用性(CIA)的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时,可以结合实际补充相关属性,如财物价值等。在工作中经常会碰到客户问到信息资产分级是分三级、五级还是十级好?这个问题不是绝对的,对于发展中的中小组织来说,信息资产相对较少,可以采用三级分类,即高(3)、中(2)、低(1);对于信息资产相对较多的组织,为了更细致描述资产相对价值,可以采用五级分类,即高(5)、较高(4)、中(3)、较低(2)、低(1)。总而言之,能够体现信息资产价值和方便操作的两个前提下,越简单越好(定义成十级理论上也是可以的,但基本不具备可操作性)。
(4)信息资产价值计算
在信息资产相对价值的评价时,首先要对信息资产的CIA属性进行赋值。在赋值过程中,可能会发现对于一些资产很难评价CIA。举个例子,对于人员类资产,评价其完整性是没有什么意义的。因此,可采用加权系数的方式,即针对CIA分别设定α、β、γ三个系数(α+β+γ=1),设定β=0、α=0.
4、γ=0.6。这样做的好处是对于不适用的选型可以不予评价,同时针对不同行业、不同资产类别可以设定反映此类资产特点的CIA加权系数α、β、γ(例如:金融行业与制造业对于相同资产类别的CIA关注侧重点是不同的,硬件资产和数据资产CIA关注侧重点是不同的)。另外,针对具体算法,只要能够相对比较客观的反映出信息资产相对价值,可以采用相加、相乘、平均值等算法,然后根据资产值所在区间确定资产相对价值。
总结来说,信息资产识别与价值评估的根本目的,是在于通过一套统一定量的方法论,来识别出组织中需要保护的信息资产,并且对其重要性进行分析,从而有的放矢的识别分析出组织中的信息安全风险。
三、威胁、脆弱性分级与识别
(1)威胁与脆弱性分级。
在风险评估中,信息资产相对价值由机密性、完整性和可用性(CIA)的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时,可以结合实际补充相关属性,如财物价值等。在工作中经常会碰到客户问到信息资产分级是分三级、五级还是十级好?这个问题不是绝对的,对于发展中的中小组织来说,信息资产相对较少,可以采用三级分类,即高(3)、中(2)、低(1);对于信息资产相对较多的组织,为了更细致描述资产相对价值,可以采用五级分类,即高(5)、较高(4)、中(3)、较低(2)、低(1)。总而言之,能够体现信息资产价值和方便操作的两个前提下,越简单越好(定义成十级理论上也是可以的,但基本不具备可操作性)。
(2)威胁和脆弱性识别。
观点一:不要试图识别出资产面临的所有威胁以及具有的所有脆弱性。因为,无论如何都不可能识别完全,而且资产的威胁和脆弱性也是随着组织环境与控制措施不断在变化的,只要把当时资产所面临的最重要的威胁和脆弱性识别出来就可以了。
观点二:利用漏扫工具对主机、网络设备、数据库等进行扫描时会扫出很多的技术漏洞,建议在进行脆弱性识别时按一条来处理,统一识别威胁和风险,采取的控制措施就是对这个资产进行加固,没有必要针对每一条进行识别。
观点三:在识别威胁和脆弱性时,不要忘记识别现有的控制措施,因为现有控制措施的效果会对威胁和脆弱性赋值产生影响。从理论上讲,现有控制措施可能对威胁和脆弱性同时产生影响,但从实际操作层面来看,现有控制措施绝大多数情况只针对脆弱性发挥作用,因此我们更倾向于只针对脆弱性考虑现有控制措施。
观点四:为了提高效率,威胁、脆弱性和风险可以一起识别,因为风险实际上是资产(A)、威胁(T)、脆弱性(V)的组合而成,缺一不可。因此,单独识别资产的威胁和脆弱性看似合理的,但是没有与威胁相匹配的脆弱性,或者没有与脆弱性相匹配的威胁,最终都不会被识别为资产的风险,所以ATV-R/AVT-R这样一条龙的方式来识别是效率最高的。
四、风险管理的意义
风险评估是一个过程,它不是一次性的工作,风险评估是风险管理的重要环节,而风险管理更是一个过程管理,过分的强调一次风险评估的结果意义不大。风险评估不是目的,风险评估只是一个工具和手段,通过这个工具或者说采用这种方法能够不断地揭示组织面临的风险,使原来未知的风险变成已知风险,进而采取相应的控制措施去控制这些风险,从而不断降低组织风险水平,这才是风险评估真正价值所在。
曾经有客户和咨询服务商的学员讨论过风险评估工作是顾问来做的,还是客户自己做的?我们认为,如果在项目预算、项目进度等都可控,并且客户配合的前提下,尽可能的让客户相关部门人员自己做风险评估,顾问负责传递风险评估方法,并在过程中进行指导,对风险评估结果进行审核;如果不具备这些条件,为了控制项目成本和进度,由顾问快速地完成风险评估工作也无可厚非。总的原则是条件允许的情况下,尽可能地让客户参与进来,在项目中帮助客户人员建立风险评估能力。在项目结束后,客户在全组织范围内具备自行开展风险评估工作来管理风险的能力,并且能够持续进行风险管理,远比一次性的风险评估结果更重要、更有意义。
3、什么是健康风险评估?做健康风险评估麻不麻烦?
1.全息检测—检测人体6965项生命数据,科学评估各器官,侦查、预告、潜在疾病早期预警。2.全息平衡--在未病状态时,发现问题,主动医学,检测出未病状态时的能量失衡外还能调节失衡的能量,使其达到生物能量平衡,达到治未病的目的。3.修复方案—提供全方位健康风险修复方案,治未病,全面修复健康风险。 我家附近的一个美容院购买了这个爱托优健康管理系统做这个,一整套的流程也只需要7分钟而已。
健康风险评估 是一种方法或工具,用于描述和评估某一个体未来发生某种特定疾病或因为某种特定疾病导致死亡的可能性。这种分析过程目的在于估计特定时间发生的可能性,而不在于做出明确的诊断。健康风险评估师对个人的健康状况及未来患病/死亡危险性的量化评估。包括健康状态、未来患病/死亡危险、量化评估3个关键词。
4、健康管理师的考试内容?
2019年健康管理师考试时间指南
2019年健康管理师考试时间4月、6月、9月、11月。2019年6月健康管理师考试时间已确定为6月29日。
预约报名:
→ 2019年6月健康管理师预约考试,名额有限,欲报从速!
→ 2019年9月健康管理师预约考试报名指导,想报的快看!
→ 2019年11月健康管理师预约考试安排,不看会后悔!
一、考试科目
职业
等级
考试时间
考试科目
题型
答题方式
健康管理师
3级
9:00-11:00
理论知识
单选、多选
人机对话
14:00-16:00
操作技能
题干单选、案例分析
人机对话
【考试题型举例】
一、A题型
1.不属于常见健康评估的范畴的是( B )。
A.疾病发生可能性的计算
B.疾病患病率的计算
C.个人健康状况的评价
D.个人心理状况的评估
E.群体健康风险的评估
2.WHO关于健康的定义( C )
卫生部职业技能鉴定指导中心组织编写并推荐使用的卫生行业特有工种职业《健康管理师——国家职业资格培训教材》(试行)。 学习内容: 1.健康管理师职业概述 2.健康管理概论 3.健康风险评估和风险管理 4.健康保险与健康管理 5.临床医学基础知识 6.初级卫生保健 7.主要慢性非传染性疾病 8.筛检的基础知识 9.循证医学 10.预防医学 11.流行病学和医学统计学基本知识 12.健康教育与健康促进 13.中医学 14.医学信息学 15.膳食与营养 16.身体活动 17.心理健康 18.生命伦理学 19.健康管理服务营销 20健康管理相关法律制度 21.健康管理技能技巧 22.实习
心理学(XLX.NET)文章,转载需注明出处 https://www.xlx.net/xinlikepu/67537.html