創業計劃書風險評估

　　從資訊保安的角度來講，風險評估是對資訊資產即某事件或事物所具有的資訊集所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估 以下是小編為大家整理的關於，給大家作為參考，歡迎閱讀!

　　怎樣寫

　　一、 資源風險

　　對搞旅遊來說，旅遊資源即各大小旅遊景點對企業顯得尤其重要。各大小旅遊景點有各自的特色，當然其中部分景點會有相同的地方;每個景點都會有各自不同的經營理念、服務理念。而對情侶這些大學生來說旅遊景點的軟實力顯得十分重要。即在前期選擇要進行合作的旅遊景點時須對其進行充分的考察，進行全方位的綜合分析與評價，從而更好地為公司後期的良好發展鑑定堅實的資源基礎。

　　二、市場不確定性風險

　　我們針對的主要是省內在校大學和往屆畢業大學生但畢業後在本省工作，其次就是省外大學生。根據對周圍同學的提問與瞭解，得知：在短假期間，大多數人會選擇在省內旅遊;在長假期間選擇去外省旅遊。但總體比較分析可知人員流動性並不大，所以市場與省內的旅遊事業密不可分。

　　三、 投資上市風險

　　首先，旅遊企業一般注重品牌發展，缺乏資本市場的意識。資本市場過去重視高科技、高成長性產業，對門檻較低、科技含量低、勞動力比較密集的餐飲業，風險資本投入熱情不高。此外，從業者對融資的意識比較淡漠，缺乏對資本市場的學習和了解，上市動機不強烈。

　　其次，旅遊企業普遍存在“規模小、收入少、利潤少、淨資產少”等問題，旅遊業的現金流大，但難沉澱形成優質資產，財務硬指標不符合上市的法定條件和要求。

　　最後，旅遊企業大都是民營企業，政府和金融機構支援力度不太大。旅遊企業還面臨財務規範管理不到位、高素質人才缺乏等問題，很難跨入上市門檻。

　　就目前的情況來看，提出上市的旅遊企業均是在連鎖行業做得比較有特色的一批。這也就構成了市場競爭力度加大，旅遊企業在各方面爭先的行為，雖然形成了一個良性競爭的趨勢，但將與沉澱資產的目的相去甚遠，上市需求也就遙遙無期了。

　　四、成本控制風險

　　在公司成立初期，資金、成本對公司來說是重中之重。成立初期應嚴格按照之前的策劃內容、規定進行使用資金以完成既定目標，同時控制好經營成本。如果生意中有較好的現金流、充足的現金儲備以及良好的信用度時則需考慮是否按照既定計劃繼續經營。這時會出現不同的備選方案，不同的備選方案所存在的風險大小不同，當備選方案與公司的發展目標相同時需要對備選方案進行詳細評估。

　　五、競爭風險

　　現在社會上存在眾多的旅遊公司，規模或大或小，資質雄厚或剛剛起步，型別各種各樣，發展目標也不盡相同。但是為在校大學生情侶假期外出旅遊服務的旅遊公司卻不多，所以公司在前期發展的時候在應對市場競爭上不存在比較大的壓力。但是在公司發展壯大之後在社會上引起良好的迴應時則會激起同行之間的模仿，從而加大競爭壓力，為此公司在後期必須為自己的良好生存發展再出別具一格的經營模式，以佔領大學生情侶假期旅遊的市場份額。

　　風險評估的可行途徑

　　在風險管理的前期準備階段，組織已經根據安全目標確定了自己的安全戰略，其中就包括對風險評估戰略的考慮。所謂風險評估戰略，其實就是進行風險評估的途徑，也就是規定風險評估應該延續的操作過程和方式。

　　風險評估的操作範圍可以是整個組織，也可以是組織中的某一部門，或者獨立的資訊系統、特定系統元件和服務。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

　　基線

　　如果組織的商業運作不是很複雜，並且組織對資訊處理和網路的依賴程度不是很高，或者組織資訊系統多采用普遍且標準化的模式，基線風險評估Baseline Risk Assessment就可以直接而簡單地實現基本的安全水平，並且滿足組織及其商業環境的所有要求。

　　採用基線風險評估，組織根據自己的實際情況所在行業、業務環境與性質等，對資訊系統進行安全基線檢查拿現有的安全措施與安全基線規定的措施進行比較，找出其中的差距，得出基本的安全需求，通過選擇並實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規範中規定的一組安全控制措施或者慣例，這些措施和慣例適用於特定環境下的所有系統，可以滿足基本的安全需求，能使系統達到一定的安全防護水平。組織可以根據以下資源來選擇安全基線：

　　國際標準和國家標準，例如BS 7799-1、ISO 13335-4;

　　行業標準或推薦

　　來自其他有類似商務目標和規模的組織的慣例。

　　當然，如果環境和商務目標較為典型，組織也可以自行建立基線。

　　基線評估的優點是需要的資源少，週期短，操作簡單，對於環境相似且安全需求相當的諸多組織，基線評估顯然是最經濟有效的風險評估途徑。當然，基線評估也有其難以避免的缺點，比如基線水平的高低難以設定，如果過高，可能導致資源浪費和限制過度，如果過低，可能難以達到充分的安全，此外，在管理安全相關的變化方面，基線評估比較困難。

　　基線評估的目標是建立一套滿足資訊保安基本目標的最小的對策集合，它可以在全組織範圍內實行，如果有特殊需要，應該在此基礎上，對特定系統進行更詳細的評估。

　　詳細

　　詳細風險評估要求對資產進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想，即識別資產的風險並將風險降低到可接受的水平，以此證明管理者所採用的安全控制措施是恰當的。

　　風險識別

　　“風險識別”risk identification是發現、承認和描述風險的過程。風險識別包括對風險源、風險事件、風險原因及其潛在後果的識別。風險識別包括歷史資料、理論分析、有見識的意見、專家的意見，以及利益相關方的需求。

　　風險評價

　　“風險評價”risk evaluation是把風險分析的結果與風險準則相比較，以決定風險和/或其大小是否可接受或可容忍的過程。正確的風險評價有助於組織對風險應對的決策。[2]

　　詳細評估的優點在於：

　　1、組織可以通過詳細的風險評估而對資訊保安風險有一個精確的認識，並且準確定義出組織的安全水平和安全需求;

　　2、詳細評估的結果可用來管理安全變化。當然，詳細的風險評估可能是非常耗費資源的過程，包括時間、精力和技術，因此，組織應該仔細設定待評估的資訊系統範圍，明確商務環境、操作和資訊資產的邊界。

　　組合

　　基線風險評估耗費資源少、週期短、操作簡單，但不夠準確，適合一般環境的評估;詳細風險評估準確而細緻，但耗費資源較多，適合嚴格限定邊界的較小範圍內的評估。基於在實踐當中，組織多是採用二者結合的組合評估方式。

　　為了決定選擇哪種風險評估途徑，組織首先對所有的系統進行一次初步的高階風險評估，著眼於資訊系統的商務價值和可能面臨的風險，識別出組織內具有高風險的或者對其商務運作極為關鍵的資訊資產或系統，這些資產或系統應該劃入詳細風險評估的範圍，而其他系統則可以通過基線風險評估直接選擇安全措施。

　　這種評估途徑將基線和詳細風險評估的優勢結合起來，既節省了評估所耗費的資源，又能確保獲得一個全面系統的評估結果，而且，組織的資源和資金能夠應用到最能發揮作用的地方，具有高風險的資訊系統能夠被預先關注。當然，組合評估也有缺點：如果初步的高階風險評估不夠準確，某些本來需要詳細評估的系統也許會被忽略，最終導致結果失準。