5.1 風險分析

標識信息系統的資產價值，識別信息系統面臨的自然的和人為的威脅，識別信息系統的脆弱性，分析各種威脅發生的可能性并定量或定性描述可能造成的損失，識別現有的風險防范和控制措施。通過技術和管理手段，防范或控制信息系統的風險。依據防范或控制風險的可行性和殘余風險的可接受程度，確定對風險的防范和控制措施。信息系統風險評估方法可參考GB/T XXX《信息安全風險評估指南》。