7. 風(fēng)險(xiǎn)評(píng)估的常用方法

1）基于知識(shí)（Knowleclge-basecl）的分析方法

基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資源，只要通過多種途徑采集相關(guān)的信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳。限例進(jìn)行比例，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最佳慣例的推薦安全措施，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。基于知識(shí)的分析方法，最重要的還在于評(píng)估信息的采集，信息源包括：

◇會(huì)議討論

◇對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查

◇制作問卷，進(jìn)行調(diào)查

◇對(duì)相關(guān)人員進(jìn)行訪談◇進(jìn)行實(shí)地考察

2)基于模型（Moclel-based）的分析方法

2001年1月，由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)CORAS項(xiàng)目。CORAS沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過程，但其處置風(fēng)險(xiǎn)的方法則完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)行的。