4.風險評估和處理( treatment)

注意，本標題中將treatment翻譯為處理，在4.2中及其他地方一般翻譯為“處置”， 與風險評估的術語保持了一致。

4.1評估安全風險。本節對于風險評估并沒有給出具體方法，而僅僅作了整體的指導。組織可以按照GB/T 22080-2008／ISO/IEC 27001: 2005對風險評估的要求結合本節中的描述來選擇合適的風險評估方法。具體如下（原文中沒有分節和編號）：

a)風險評估宜對照風險接受準則和組織相關目標，識別、量化并區分風險的優先次序。

b)風險評估的結果宜指導并確定適當的管理措施及其優先級，以管理信息安全風險并為防范這些風險實施選擇的控制措施。

c)風險評估應使用一種能夠產生可比較和可再現結果的系統化的方式。

注：這是對風險評估的整體要求，風險評估的結果是為了指導控制措施的選擇，那么其結果必須體現風險的優先次序，即至少得分出個等級來。注意這里談到的量化( quantify)風險，不是量化的風險評估方法，應該是區分風險大小而引進的量化。

d)評估風險和選擇控制措施的過程可能需要執行多次，以覆蓋組織的不同部門或各個信息系統。為使信息安全風險評估有效，它應有一個清晰定義的范圍。如果合適，應包括與其他領域風險評估的關系。如果可行、實際和有幫助，風險評估的范圍既可以是整個組織、組織的一部分、單個的信息系統、特定的系統部件，也可以是服務。

e)風險評估還宜定期進行，以應對安全要求和風險情形的變化，例如資產、威脅、 脆弱性、影響、風險評價，發生重大變化時也應進行風險評估。

注：這是對風險評估的范圍和執行時間進行了指導，比較明確。

f)風險評估宜包括估計風險大小的系統方法（風險分析），將估計的風險與風險準則加以比較以確定風險嚴重性的過程（風險評價）。

注：對風險評估的過程進行指導，遠沒有GB/T 22080- 2008／IS()/IEC 27001: 2005中詳細。 g)風險評估方法的例子在IS()/IEC TR 13335 -3中討論。

注：本條款在GB/T 22080--2008／IS()/1EC 27001: 2005中也有，這是對選擇方法的更實際的引導。