6.2 規劃階段的風險評估

規劃階段風險評估的目的是識別系統的業務戰略，以支撐系統安全需求及安全戰略等。規劃階段的評估應能夠描述信息系統建成后對現有業務模式的作用，包括技術、管理等方面，并根據其作用確定系統建設應達到的安全目標。
本階段評估中，資產、脆弱性不需要識別；威脅應根據未來系統的應用對象、應用環境、業務狀況、操作要求等方面進行分析。評估著重在以下幾方面：
a）是否依據相關規則，建立了與業務戰略相一致的信息系統安全規劃，并得到最高管理者的認可；
b）系統規劃中是否明確信息系統開發的組織、業務變更的管理、開發優先級；
c）系統規劃中是否考慮信息系統的威脅、環境，并制定總體的安全方針；
d）系統規劃中是否描述信息系統預期使用的信息，包括預期的應用、信息資產的重要性、潛在的價值、可能的使用限制、對業務的支持程度等；
e）系統規劃中是否描述所有與信息系統安全相關的運行環境，包括物理和人員的安全配置，以及明確相關的法規、組織安全策略、專門技術和知識等。
規劃階段的評估結果應體現在信息系統整體規劃或項目建議書中。