6.1.2 風險評估的基本過程

風險評估是組織確定信息安全需求的過程，包括資產識別與評價、威脅和弱點評估、控制措施評估、風險認定在內的一系列活動。

根據國家標準GB/T20984-2007《信息安全風險評估規范》，將風險評估定義為如下過程。

　　1.風險評估準備

風險評估準備是整個風險評估過程有效性的保證。+組織實施風險評估是一種戰略性的考慮，其結果將受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響。因此，在風險評估實施前應：

1)確定風險評估的目標；

根據滿足組織業務持續發展在安全方面的需要、法律法規的規定等內容，識別現有信息系統及管理上的不足，以及可能造成的風險大小。

2)確定風險評估的范圍；

風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產、管理機構，也可能是某個獨立的信息系統、關鍵業務流程、與客戶知識產權相關的系統或部門等。

3)組建適當的評估管理與實施團隊；

風險評估實施團隊，由管理層、相關業務骨干、IT技術等人員組成風險評估小組。必要時，可組建由評估方、被評估方領導和相關部門負責人參加的風險評估領導小組，聘請相關專業的技術專家和技術骨干組成專家小組。

評估實施團隊應做好評估前的表格、文檔、檢測工具等各項準備工作，進行風險評估技術培訓和保密教育，制定風險評估過程管理相關規定。可根據被評估方要求，雙方簽署保密合同，適情簽署個人保密協議。