风险评估的基本过程一

6.1.2 风险评估的基本过程

风险评估是组织确定信息安全需求的过程，包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。

根据国家标准GB/T20984-2007《信息安全风险评估规范》，将风险评估定义为如下过程。

　　1.风险评估准备

风险评估准备是整个风险评估过程有效性的保证。+组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前应：

1)确定风险评估的目标；

根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。

2)确定风险评估的范围；

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

3)组建适当的评估管理与实施团队；

风险评估实施团队，由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时，可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和技术骨干组成专家小组。

评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密合同，适情签署个人保密协议。