7.2 自評估

自評估是指信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估。自評估應在本標準的指導下，結合系統特定的安全要求進行實施。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統發生變化后引入的新威脅，以及系統脆弱性的完整識別，以便于兩次評估結果的對比。但系統發生6.5中所列的重大變更時，應依據本標準進行完整的評估。
自評估可由發起方實施或委托風險評估服務技術支持方實施。由發起方實施的評估可以降低實施的費用、提高信息系統相關人員的安全意識，但可能由于缺乏風險評估的專業技能，其結果不夠深入準確；同時，受到組織內部各種因素的影響，其評估結果的客觀性易受影響。委托風險評估服務技術支持方實施的評估，過程比較規范、評估結果的客觀性比較好，可信程度較高；但由于受到行業知識技能及業務了解的限制，對被評估系統的了解，尤其是在業務方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風險因素，因此，對其背景與資質、評估過程與結果的保密要求等方面應進行控制。
此外，為保證風險評估的實施，與系統相連的相關方也應配合，以防止給其他方的使用帶來困難或引入新的風險。