信息安全風險管理的過程

信息安全風險管理的過程如下：

1. 確定影響范圍：影響范圍是指評估對象涉及的傳播影響，按評估對象支持的用戶數計。對于運營于互聯網上的應用系統，根據涉及資金不同分為五個等級。

2. 確定威脅：威脅是指可能對評估對象造成損害的外部原因。威脅利用評估對象自身的脆弱性，采用一定的途徑和方式，對評估對象造成損害或損失，從而形成風險。為了便于對不同威脅發生的可能性概率數據進行類比、度量，依據經驗或專家意見進行賦值，等級為一到五級，五級最高。

3. 確定脆弱性：脆弱性是指評估對象存在一個或多個脆弱的管理、技術、業務方面的漏洞，這些漏洞可能會被威脅所利用。脆弱性依據經驗或專家意見進行賦值，采用相對等級的方式進行度量，等級值為1-3，1為最低，3為最高。

4. 計算風險值：風險計算公式為風險值等于影響范圍乘以威脅可能性乘以脆弱嚴重性，根據風險計算公式得出風險值后可以對應其風險等級，如風險值在55-75分，表示風險極高

5. 評估結論：評估報告以風險計算得分形式呈現，即不僅呈現脆弱性問題，并且對于不符合評估標準的項，根據面臨威脅賦值和脆弱性賦值，結合評估對象的影響范圍計算出風險得分，依據得分給出風險等級（極高、高、中、低、極低）。 任一評估要點匹配對應的企業安全保障能力的脆弱性測算值＞0時，須及時記錄并反饋至本級信息安全部門進行報備。任一評估要點的風險值的對應等級為中及其以上程度時，必須納入整改事項嚴格貫徹執行，并密切跟蹤把握風險變化、持續健全更新與之匹配對應的信息安全管理措施和技術保障手段，根據業務上線后的經營發展情況適時開展安全評估，以確保將信息安全風險控制在中級以下范圍內。評估管理部門應組織評估專家審查小組，對“評估結論”進行審核，通過后出具評審結論。

回答所涉及的環境：聯想天逸510S、Windows 10。