项目评估中控制风险的做法

1、　　一、选择安全控制措施 　　为了降低或消除安全体系范围内所涉及到的被评估的风险，企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据，判断与威胁相关的薄弱点，决定什么地方需要保护，采取何种保护手段。 　　安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高，那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高，则也是不合适的。但是，如果预算不足以提供足够数量和质量的控制措施，从而导致不必要的风险，则应该对其进行关注。 　　通常，一个控制措施能够实现多个功能，功能越多越好。当考虑总体安全性时，应该考虑尽可能地保持各个功能之间地平衡，这有助于总体安全有效性和效率。

2、　　二、风险控制　　根据控制措施的费用应当与风险相平衡的原则，企业应该对所选择的安全控制措施严格实施以及应用。达到降低风险的途径有很多种，下面是常用的几种手段：　　1、免风险：比如：改善施工程序及工作环境等。　　2、转移风险：比如：进行投保等。　　3、减少威胁：比如：组织具有恶意的软件的执行，避免遭到攻击。　　4、减少薄弱点：比如：对员工进行安全教育，提高员工的安全意识。　　5、进行安全监控：比如：及时对发现的可能存在的安全隐患进行整改，及时做出响应。

3、　　三、可接受风险 　　任何生产在一定程度上都存在风险，绝对的安全是不存在的。当企业根据风险评估的结果，完成实施所选择的控制措施后，会有残余的风险。为确保企业的安全，残余风险也应该控制在企业可以接受的范围内。 　　风险接受是对残余风险进行确认和评价的过程。在实施了安全控制措施后，企业应该对安全措施的实施情况进行评审，即对所选择的控制措施在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险，应该考虑增加投资。 　　风险是随时间而变化的，风险管理是一个动态的管理过程，这就要求企业实施动态的风险评估与风险控制，即企业要定期进行风险评估。一般而言，当出现以下情况时，应该重新进行风险评估： 　　1、当企业新增企业资产时; 　　2、当系统发生重大变更时; 　　3、发生严重安全事故时; 　　4、企业认为非常必要时。