6.風(fēng)險(xiǎn)評(píng)估方式

1)自評(píng)估

由組織自身發(fā)起，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。自評(píng)估應(yīng)參考相應(yīng)標(biāo)準(zhǔn)，依據(jù)制定的評(píng)估方案、評(píng)估準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求進(jìn)行實(shí)施。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡化，重點(diǎn)針對(duì)自上次評(píng)估后系統(tǒng)發(fā)生變化后引人的新威脅，以及系統(tǒng)脆弱性的完整識(shí)別，以便于兩次評(píng)估結(jié)果的對(duì)比。但系統(tǒng)發(fā)生重大變更時(shí)，應(yīng)進(jìn)行完整的評(píng)估。

自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施。由發(fā)起方實(shí)施的評(píng)估可以降低實(shí)施的費(fèi)用、提高信息系統(tǒng)相關(guān)人員的安全意識(shí)，但可能由于缺乏風(fēng)險(xiǎn)評(píng)估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其評(píng)估結(jié)果的客觀性易受影響。委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施的評(píng)估，過程比較規(guī)范、評(píng)估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制，對(duì)被評(píng)估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引人第三方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對(duì)其背景與資質(zhì)、評(píng)估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。

此外，為保證風(fēng)險(xiǎn)評(píng)估的實(shí)施，與系統(tǒng)相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來困難或引人新的風(fēng)險(xiǎn)。