2.3 信息系统生命周期各阶段的风险评估

风险评估应贯穿于信息系统生命周期的各阶段中。信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象和安全需求不同，使得风险评估的对象、目的和要求等各方面也有所不同。具体而言，在规划设计阶段，通过风险评估以确定系统的安全目标；在建设验收阶段，通过风险评估以确定系统的安全目标达成与否；在运行维护阶段，要不断地实施风险评估，以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。因此，每个阶段风险评估的具体实施应根据该阶段的特点来有所侧重地进行。

信息系统生命周期包含规划、设计、实施、运行维护和废弃5个阶段。图2-3列出了生命周期各阶段中的安全活动。