风险投资的主要风险bao括技术风险、管理风险、市场风险、财务风险和环境风险等。由于风险投资过程是一种投资期限长、投资结果高度不确定的创新过程,风险投资主体很难获取关于整个风险投资过程的比较完整、准确的信息,即信息是不完全的。投资主体虽然对未来情况(如对某些定性评价指标)有所了解,但对如概率、可能的风险损失、投资收益变动等定量指标很难做出估计。传统的《商业计划书》缺乏对项目风险的准确衡量,只是泛泛的文字叙述。而项目的风险具有广泛的复杂性和系统性,如何准确识别所有风险,如何衡量各个风险影响程度,如何将各个风险指标系统的整合起来得出项目风险整体评价?这只能借助专家的意见和知识,并用定量指标和科学的计算模型进行评价。
每家公司或每个人可能都会有一套做信息资产风险评估不错的放法论,这套方法论通常是多年实践积累、改进而来或从哪里直接借鉴过来的,而通常去给客户做风险的评估的时候也都是拿着这套所谓不错的实践去做的(尤其是新手居多)。但这就忽略了一个问题,每个客户的实际情况是不同的,项目范围也是不同的,其信息资产的分布和管理方式、以及客户实际的配合力度以及客户是否需要通过认证的情况都是不一样的。在实际实施过程中可能会遇到,客户原本的资产管理就很混乱,缺少集中或统一了解和管理资产的人,人员对资产的熟悉情况太分散,评估的结果是否要与等保和安全域结合,客户是否有充分的人员和时间配合你工作等等情况。
同一套方法,这在很多人看来是没什么奇怪的,我们在项目中做风险评估最关注的几个问题是,一方面,要尽量有效全方面的评估出风险,并根据风险制定有效的控制,这是从评估的实用性和为客户带来效果的角度(即项目质量)来说的;另一方面我们还要保证项目的进度,常做评估的人都知道风险评估在资产识别阶段不能做的太细,避免做成CMDB,就是为了控制项目的进度。