1.3.4 信息安全风险评估过程

风险评估包括风险评估准备、风险识别、风险分析和风险评价四个主要阶段。

（1）风险评估准备阶段：风险评估准备阶段是整个风险评估过程可控性及评估结果客观性的有效保证。在信息安全风险评估实施前应进行充分的准备和计划，通常准备活动包括确定信息安全风险评估的目标、对象、范围和边界；组建评估团队、开展前期调研、确定评估依据、制定评估方案并获得组织最高管理者的支持和批准。

（2）风险识别阶段：风险识别阶段是风险评估过程的重要阶段，通过对组织和系统中的发展战略及业务、资产、威胁、脆弱性、已有安全措施等要素进行识别，是进行信息安全风险分析的前提。

（3）风险分析阶段：风险分析阶段的主要工作是进行风险分析和计算，计算出风险值，确定风险等级。

（4）风险评价阶段：风险评价阶段是对组织或信息系统总体信息安全风险的评价。

风险评估工作是持续性的活动，当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时，应重新开展风险评估。 flDi23dpO8GMWDYMWly2cIo01jUKwcAa45rK1TUV2ybCdQ4MKvR5LA5MqMQj4Xm3