风险评估工作包括那些？

风险评估是组织确定信息安全需求的一个重要途径，属于组织安全管理策划的过程。 风险评估工作包括：

1)确定保护的对象（保护资产）是什么？它们直接和间接价值？

2）资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

3)资产中存在哪里弱点可能会被威胁所利用？利用的容易程序又如何？

4)一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、 判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。