2. 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估確定信息資產(chǎn)的價(jià)值、識(shí)別適用的威脅和（存在或可能存在的）脆弱點(diǎn)、識(shí)別現(xiàn)有控制措施及其對(duì)已識(shí)別風(fēng)險(xiǎn)的影響，確定潛在后果，對(duì)風(fēng)險(xiǎn)進(jìn)行最終的優(yōu)先級(jí)排序，并按照風(fēng)險(xiǎn)范疇中設(shè)定的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則進(jìn)行排名。

風(fēng)險(xiǎn)評(píng)估的目的是通過風(fēng)險(xiǎn)評(píng)估的結(jié)果，來獲得信息安全需求，信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督活動(dòng)。風(fēng)險(xiǎn)評(píng)估使得組織能夠準(zhǔn)確定位風(fēng)險(xiǎn)管理的策略、實(shí)踐和工具，能夠?qū)踩顒?dòng)的重點(diǎn)放在重要的問題上，能夠選擇有合理成本效益的和適用的安全對(duì)策。基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理方法被實(shí)踐證明是有效的和實(shí)用的，已被廣泛應(yīng)用于各個(gè)領(lǐng)域。

風(fēng)險(xiǎn)評(píng)估的過程包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)階段。在信息安全風(fēng)險(xiǎn)管理過程中，風(fēng)險(xiǎn)評(píng)估活動(dòng)接受背景建立階段的輸出，形成本階段的最終輸出《風(fēng)險(xiǎn)評(píng)估報(bào)告》，此文檔為風(fēng)險(xiǎn)處理活動(dòng)提供輸入。監(jiān)控審查和溝通咨詢貫穿風(fēng)險(xiǎn)評(píng)估的四個(gè)階段。

1)風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

制定風(fēng)險(xiǎn)評(píng)估計(jì)劃制定風(fēng)險(xiǎn)評(píng)估方案

選擇風(fēng)險(xiǎn)評(píng)估方法和工具

2)風(fēng)險(xiǎn)要素識(shí)別

識(shí)別需要保護(hù)的資產(chǎn)并賦值識(shí)別面臨的威脅并賦值

識(shí)別存在的脆弱性并賦值確認(rèn)已有的安全措施

3)風(fēng)險(xiǎn)分析

計(jì)算安全事件發(fā)生的可能性計(jì)算安全事件造成的損失

實(shí)施風(fēng)險(xiǎn)計(jì)算

4)風(fēng)險(xiǎn)結(jié)果判定評(píng)價(jià)分析結(jié)果

綜合判定風(fēng)險(xiǎn)等級(jí)