6.風(fēng)險(xiǎn)評估方式

1)自評估

由組織自身發(fā)起，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評估活動(dòng)。自評估應(yīng)參考相應(yīng)標(biāo)準(zhǔn)，依據(jù)制定的評估方案、評估準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求進(jìn)行實(shí)施。周期性進(jìn)行的自評估可以在評估流程上適當(dāng)簡化，重點(diǎn)針對自上次評估后系統(tǒng)發(fā)生變化后引人的新威脅，以及系統(tǒng)脆弱性的完整識別，以便于兩次評估結(jié)果的對比。但系統(tǒng)發(fā)生重大變更時(shí)，應(yīng)進(jìn)行完整的評估。

自評估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施。由發(fā)起方實(shí)施的評估可以降低實(shí)施的費(fèi)用、提高信息系統(tǒng)相關(guān)人員的安全意識，但可能由于缺乏風(fēng)險(xiǎn)評估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引人第三方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。

此外，為保證風(fēng)險(xiǎn)評估的實(shí)施，與系統(tǒng)相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來困難或引人新的風(fēng)險(xiǎn)。