6.1 信息系統生命周期概述

風險評估應貫穿于信息系統生命周期的各階段中。信息系統生命周期各階段中涉及的風險評估的原則和方法是一致的，但由于各階段實施的內容、對象、安全需求不同，使得風險評估的對象、目的、要求等各方面也有所不同。具體而言，在規劃設計階段，通過風險評估以確定系統的安全目標；在建設驗收階段，通過風險評估以確定系統的安全目標達成與否；在運行維護階段，要不斷地實施風險評估以識別系統面臨的不斷變化的風險和脆弱性，從而確定安全措施的有效性，確保安全目標得以實現。因此，每個階段風險評估的具體實施應根據該階段的特點有所側重地進行。有條件時，應采用風險評估工具開展風險評估活動。
有關風險評估工具的說明參見附錄Ｂ。