6.风险评估方式
1)自评估
由组织自身发起,依据国家有关法规与标准,对信息系统及其管理进行的风险评估活动。自评估应参考相应标准,依据制定的评估方案、评估准则,结合系统特定的安全要求进行实施。周期性进行的自评估可以在评估流程上适当简化,重点针对自上次评估后系统发生变化后引人的新威胁,以及系统脆弱性的完整识别,以便于两次评估结果的对比。但系统发生重大变更时,应进行完整的评估。
自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施的费用、提高信息系统相关人员的安全意识,但可能由于缺乏风险评估的专业技能,其结果不够深入准确;同时,受到组织内部各种因素的影响,其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的评估,过程比较规范、评估结果的客观性比较好,可信程度较高;但由于受到行业知识技能及业务了解的限制,对被评估系统的了解,尤其是在业务方面的特殊要求存在一定的局限。但由于引人第三方本身就是一个风险因素,因此,对其背景与资质、评估过程与结果的保密要求等方面应进行控制。
此外,为保证风险评估的实施,与系统相连的相关方也应配合,以防止给其他方的使用带来困难或引人新的风险。