6.1.2 風險評估的基本過程

風險評估是組織確定信息安全需求的過程，包括資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風險認定在內(nèi)的一系列活動。

根據(jù)國家標準GB/T20984-2007《信息安全風險評估規(guī)范》，將風險評估定義為如下過程。

　　1.風險評估準備

風險評估準備是整個風險評估過程有效性的保證。+組織實施風險評估是一種戰(zhàn)略性的考慮，其結果將受到組織的業(yè)務戰(zhàn)略、業(yè)務流程、安全需求、系統(tǒng)規(guī)模和結構等方面的影響。因此，在風險評估實施前應：

1)確定風險評估的目標；

根據(jù)滿足組織業(yè)務持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風險大小。

2)確定風險評估的范圍；

風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產(chǎn)、管理機構，也可能是某個獨立的信息系統(tǒng)、關鍵業(yè)務流程、與客戶知識產(chǎn)權相關的系統(tǒng)或部門等。

3)組建適當?shù)脑u估管理與實施團隊；

風險評估實施團隊，由管理層、相關業(yè)務骨干、IT技術等人員組成風險評估小組。必要時，可組建由評估方、被評估方領導和相關部門負責人參加的風險評估領導小組，聘請相關專業(yè)的技術專家和技術骨干組成專家小組。

評估實施團隊應做好評估前的表格、文檔、檢測工具等各項準備工作，進行風險評估技術培訓和保密教育，制定風險評估過程管理相關規(guī)定。可根據(jù)被評估方要求，雙方簽署保密合同，適情簽署個人保密協(xié)議。