6.1.2 風(fēng)險(xiǎn)評(píng)估的基本過(guò)程

風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的過(guò)程，包括資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、控制措施評(píng)估、風(fēng)險(xiǎn)認(rèn)定在內(nèi)的一系列活動(dòng)。

根據(jù)國(guó)家標(biāo)準(zhǔn)GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，將風(fēng)險(xiǎn)評(píng)估定義為如下過(guò)程。

　　1.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。+組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前應(yīng)：

1)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；

根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識(shí)別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險(xiǎn)大小。

2)確定風(fēng)險(xiǎn)評(píng)估的范圍；

風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。

3)組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；

風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)，由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)等人員組成風(fēng)險(xiǎn)評(píng)估小組。必要時(shí)，可組建由評(píng)估方、被評(píng)估方領(lǐng)導(dǎo)和相關(guān)部門負(fù)責(zé)人參加的風(fēng)險(xiǎn)評(píng)估領(lǐng)導(dǎo)小組，聘請(qǐng)相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家小組。

評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)做好評(píng)估前的表格、文檔、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險(xiǎn)評(píng)估技術(shù)培訓(xùn)和保密教育，制定風(fēng)險(xiǎn)評(píng)估過(guò)程管理相關(guān)規(guī)定。可根據(jù)被評(píng)估方要求，雙方簽署保密合同，適情簽署個(gè)人保密協(xié)議。