6.1 風險評估概述

6.1.1　風險評估的概念

風險評估是信息安全風險管理的第二步驟，針對確立的風險管理對象所面臨的風險進行識別、分析和評價。

6.1.2　風險評估的目的

信息安全風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監督活動。風險評估使得機構能夠準確定位風險管理的策略、實踐和工具，能夠將安全活動的重點放在重要的問題上，能夠選擇成本效益合理的和適用的安全對策。基于風險評估的風險管理方法被實踐證明是有效的和實用的，已被廣泛應用于各個領域。

6.1.3　風險評估的作用范圍

風險評估只是為信息安全活動提供一個方向，并不會導致重大的信息安全改進。不管評估方法有多詳細和多專業，也只能描述風險狀態，而不會改進機構的安全狀態。機構只有利用評估結果持續地進行改進活動，實現風險有效管理，才能使機構的安全狀態得到改善。