5.1 風險評估準備

5.1.1　概述

風險評估準備是整個風險評估過程有效性的保證。組織實施風險評估是一種戰略性的考慮，其結果將受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響。因此，在風險評估實施前，應：
a）確定風險評估的目標；
b）確定風險評估的范圍；
c）組建適當的評估管理與實施團隊；
d）進行系統調研；
e）確定評估依據和方法；
f）制定風險評估方案；

5.1.2　確定目標

根據滿足組織業務持續發展在安全方面的需要、法律法規的規定等內容，識別現有信息系統及管理上的不足，以及可能造成的風險大小。

5.1.3　確定范圍

風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產、管理機構，也可能是某個獨立的信息系統、關鍵業務流程、與客戶知識產權相關的系統或部門等。

5.1.4 組建團隊

風險評估實施團隊，由管理層、相關業務骨干、IT技術等人員組成風險評估小組。必要時，可組建由評估方、被評估方領導和相關部門負責人參加的風險評估領導小組，聘請相關專業的技術專家和技術骨干組成專家小組。

5.1.5 系統調研

系統調研是確定被評估對象的過程，風險評估小組應進行充分的系統調研，為風險評估依據和方法的選擇、評估內容的實施奠定基礎。調研內容至少應包括：
a）業務戰略及管理制度；
b）主要的業務功能和要求；
c）網絡結構與網絡環境，包括內部連接和外部連接；
d）系統邊界；
e）主要的硬件、軟件；
f）數據和信息；
g）系統和數據的敏感性；
h）支持和使用系統的人員；
i）其他。

5.1.6 確定依據

根據系統調研結果，確定評估依據和評估方法。評估依據包括（但不僅限于）：
a)現有國際標準、國家標準、行業標準；
b)行業主管機關的業務系統的要求和制度；
c)系統安全保護等級要求；
d)系統互聯單位的安全要求；
e)系統本身的實時性或性能要求等。

5.1.7 制定方案

風險評估方案的目的是為后面的風險評估實施活動提供一個總體計劃，用于指導實施方開展后續工作。風險評估方案的內容一般包括（但不僅限于）：
a）團隊組織：包括評估團隊成員、組織結構、角色、責任等內容；
b）工作計劃：風險評估各階段的工作計劃，包括工作內容、工作形式、工作成果等內容；

5.1.８ 獲得支持

上述所有內容確定后，應形成較為完整的風險評估實施方案，得到組織最高管理者的支持、批準；對管理層和技術人員進行傳達，在組織范圍就風險評估相關內容進行培訓，以明確有關人員在風險評估中的任務。