1.3.3 信息安全风险评估的原则

在有效的规则约束下，才能确保风险评估实施质量。因此，在进行风险评估之前，应该确定评估所遵循的原则。信息安全风险评估的原则包括以下几项。

（1）标准性原则：评估信息系统的安全风险，应按照GB/T 20984中规定的评估流程实施，并对各阶段的工作进行评估。

（2）关键业务原则：信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把设计这些业务的相关网络与系统，包括基础网络、应用基础平台、业务网络、业务应用平台等作为评估的重点。

（3）可控性原则：在风险评估项目实施过程中，应严格按照标准的项目管理方法对人员与信息、服务、过程和工具等进行控制，以保证风险评估实施过程的可控和安全。

● 人员与信息可控性：所有评估的工作人员均应签署保密协议，以保证项目信息的安全；对工作过程中产生的中间数据和结果数据应进行严格管理，未经授权不得泄露给任何单位或个人。

● 服务可控性：评估方应先在评估工作沟通会议中向用户介绍评估服务流程，明确用户需要提供的工作内容，确保整个安全评估服务工作的顺利进行。

● 过程可控性：评估项目管理应依据项目管理方法，成立项目实施团队，执行项目组长负责制，达到项目过程的可控。

● 工具可控性：所使用的评估工具均应通过多方综合性能比较、精心挑选，在项目实施前获得用户许可，包括产品本身、测试策略等，并取得有关专家论证和相关部门的认证。

（4）最小影响原则：对在线业务系统的风险评估，应基于最小影响原则，保障业务系统的稳定运行；对需要进行攻击测试的工作内容，需要与用户沟通并进行应急备份，同时选择避开业务高峰时间进行。从项目管理层面和工具技术层面，力求将风险评估对系统正常运行的可能性影响降低到最低。 6dDl/Dm3ntH8uCkwkFNRozRZ1RjPK5WGjtdQEZGVrfHe8VQHSqZJJBWXoIVMfR5C