2. 風(fēng)險評估

風(fēng)險評估確定信息資產(chǎn)的價值、識別適用的威脅和（存在或可能存在的）脆弱點、識別現(xiàn)有控制措施及其對已識別風(fēng)險的影響，確定潛在后果，對風(fēng)險進行最終的優(yōu)先級排序，并按照風(fēng)險范疇中設(shè)定的風(fēng)險評價準(zhǔn)則進行排名。

風(fēng)險評估的目的是通過風(fēng)險評估的結(jié)果，來獲得信息安全需求，信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)監(jiān)督活動。風(fēng)險評估使得組織能夠準(zhǔn)確定位風(fēng)險管理的策略、實踐和工具，能夠?qū)踩顒拥闹攸c放在重要的問題上，能夠選擇有合理成本效益的和適用的安全對策。基于風(fēng)險評估的風(fēng)險管理方法被實踐證明是有效的和實用的，已被廣泛應(yīng)用于各個領(lǐng)域。

風(fēng)險評估的過程包括風(fēng)險評估準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析和風(fēng)險結(jié)果判定四個階段。在信息安全風(fēng)險管理過程中，風(fēng)險評估活動接受背景建立階段的輸出，形成本階段的最終輸出《風(fēng)險評估報告》，此文檔為風(fēng)險處理活動提供輸入。監(jiān)控審查和溝通咨詢貫穿風(fēng)險評估的四個階段。

1)風(fēng)險評估準(zhǔn)備

制定風(fēng)險評估計劃制定風(fēng)險評估方案

選擇風(fēng)險評估方法和工具

2)風(fēng)險要素識別

識別需要保護的資產(chǎn)并賦值識別面臨的威脅并賦值

識別存在的脆弱性并賦值確認(rèn)已有的安全措施

3)風(fēng)險分析

計算安全事件發(fā)生的可能性計算安全事件造成的損失

實施風(fēng)險計算

4)風(fēng)險結(jié)果判定評價分析結(jié)果

綜合判定風(fēng)險等級