風險評估

信息安全風險評估

信息安全風險評估是參照風險評估標準和管理規范，對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析，判斷安全事件發生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領域時，就是對信息安全的風險評估。

規劃階段的風險評估

識別系統的業務戰略，以支撐系統安全需求及安全戰略

設計階段的風險評估

根據規劃階段所明確的系統運行環境、資產重要性，提出安全功能需求，對設計方案中所提供的安全功能符合性進行判斷，作為采購過程風險控制的依據。

實施階段的風險評估

根據系統安全需求和運行環境對系統開發、實施過程進行風險識別，并對系統建成后的安全功能進行驗證，根據設計階段分析的威脅和制定的安全措施，在實施及驗收時進行質量控制。

運行維護階段的風險評估

了解和控制運行過程中的安全風險，包括對真實運行的信息系統、資產、威脅、脆弱性等方面。

廢棄階段的風險評估

當信息系統不能滿足現有要求時，信息系統進入廢棄階段，根據廢棄的程度，分為部分廢棄和全部廢棄。