6.風險評估方式

1)自評估

由組織自身發(fā)起，依據(jù)國家有關法規(guī)與標準，對信息系統(tǒng)及其管理進行的風險評估活動。自評估應參考相應標準，依據(jù)制定的評估方案、評估準則，結合系統(tǒng)特定的安全要求進行實施。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統(tǒng)發(fā)生變化后引人的新威脅，以及系統(tǒng)脆弱性的完整識別，以便于兩次評估結果的對比。但系統(tǒng)發(fā)生重大變更時，應進行完整的評估。

自評估可由發(fā)起方實施或委托風險評估服務技術支持方實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系統(tǒng)相關人員的安全意識，但可能由于缺乏風險評估的專業(yè)技能，其結果不夠深入準確；同時，受到組織內部各種因素的影響，其評估結果的客觀性易受影響。委托風險評估服務技術支持方實施的評估，過程比較規(guī)范、評估結果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務方面的特殊要求存在一定的局限。但由于引人第三方本身就是一個風險因素，因此，對其背景與資質、評估過程與結果的保密要求等方面應進行控制。

此外，為保證風險評估的實施，與系統(tǒng)相連的相關方也應配合，以防止給其他方的使用帶來困難或引人新的風險。