6.1.2 風險評估的基本過程

風險評估是組織確定信息安全需求的過程，包括資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風險認定在內(nèi)的一系列活動。

根據(jù)國家標準GB/T20984-2007《信息安全風險評估規(guī)范》，將風險評估定義為如下過程。

　　1.風險評估準備

風險評估準備是整個風險評估過程有效性的保證。+組織實施風險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風險評估實施前應(yīng)：

1)確定風險評估的目標；

根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風險大小。

2)確定風險評估的范圍；

風險評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。

3)組建適當?shù)脑u估管理與實施團隊；

風險評估實施團隊，由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)等人員組成風險評估小組。必要時，可組建由評估方、被評估方領(lǐng)導(dǎo)和相關(guān)部門負責人參加的風險評估領(lǐng)導(dǎo)小組，聘請相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家小組。

評估實施團隊應(yīng)做好評估前的表格、文檔、檢測工具等各項準備工作，進行風險評估技術(shù)培訓(xùn)和保密教育，制定風險評估過程管理相關(guān)規(guī)定。可根據(jù)被評估方要求，雙方簽署保密合同，適情簽署個人保密協(xié)議。