2.威脅識別和分配:即分析資產面臨的每種威脅的頻率,包括環境因素和人為因素。
3.漏洞識別和估值:從管理和技術兩個方面發現和識別漏洞,根據受到威脅時對資產造成的損害進行估值。
4.風險值計算:通過分析上述測試數據,計算風險值,識別並確認高風險,對存在的安全風險提出整改建議。
5.被評估單位可根據風險評估結果防範和化解信息安全風險,或將風險控制在可接受的水平,為最大限度地保障網絡與信息安全提供科學依據。
擴展數據
風險評估的操作範圍可以是整個組織、組織中的壹個部門,也可以是獨立的信息系統、特定的系統組件和服務。
影響風險評估進度的壹些因素,包括評估時間、強度、發展範圍和深度,應與組織的環境和安全要求相壹致。組織應該根據不同的情況選擇合適的風險評估方法。實際工作中經常使用的風險評估方法包括基線評估、詳細評估和組合評估。
風險評估的主要任務包括:識別被評估對象面臨的各種風險;評估風險概率和可能的負面影響;確定組織承擔風險的能力;確定風險降低和控制的優先級別;推薦降低風險的對策。
百度百科-風險評估
百度百科-安全風險評估