1.3.5 信息安全风险管理与风险评估的关系

我们可以简单地认为，风险评估是风险管理的一个阶段，是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程，那么风险评估就是其中的“对症”过程，只是找到问题所在，并没有义务解决。而风险管理还包括风险处置的环节，是在整个组织内把风险降低到可接受水平的过程。风险评估和风险处置是风险管理活动的两大主体，风险管理活动就是这两大主体过程不断循环、不断迭代的过程。

信息安全风险管理要依靠风险评估的结果来确定随后的风险处置等活动。风险评估使得组织能准确定位风险管理的策略、实践和工具，能够将信息安全管理活动的重点聚焦在重要问题上，能够选择成本效益合理的和适当的安全对策。基于风险评估的风险管理方法是被大量实践证明有效和实用的，被广泛应用于各个领域。因此，信息安全风险评估是信息安全风险管理的基础，是对组织的安全性进行分析的基础资料，也是信息安全领域最重要的内容之一，为实施风险管理和风险控制提供了直接依据。

了解组织信息安全需求最主要的方式就是对组织的业务实施风险评估，实施风险评估后，组织首先能够评估风险的后果，如对组织业务有多大的影响与损害；其次可以做出风险管理决策，如采取接受、转移、降低、规避风险等措施；最后还可以采取相应的措施来实施风险决策，包括选择相关控制目标和控制措施。因此风险评估是组织确定安全需求和实施风险管理的重要一环。 9ekl27VSUpfOibazZzuxrFsTdnEZayhfkuqEjQMeEgQl3898c3bY7tVJHhEiMcJ0