风险评估方式之自评估

6.风险评估方式

1)自评估

由组织自身发起，依据国家有关法规与标准，对信息系统及其管理进行的风险评估活动。自评估应参考相应标准，依据制定的评估方案、评估准则，结合系统特定的安全要求进行实施。周期性进行的自评估可以在评估流程上适当简化，重点针对自上次评估后系统发生变化后引人的新威胁，以及系统脆弱性的完整识别，以便于两次评估结果的对比。但系统发生重大变更时，应进行完整的评估。

自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施的费用、提高信息系统相关人员的安全意识，但可能由于缺乏风险评估的专业技能，其结果不够深入准确；同时，受到组织内部各种因素的影响，其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技能及业务了解的限制，对被评估系统的了解，尤其是在业务方面的特殊要求存在一定的局限。但由于引人第三方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制。

此外，为保证风险评估的实施，与系统相连的相关方也应配合，以防止给其他方的使用带来困难或引人新的风险。