信息安全風險評估準備工作包括哪些內容

信息安全風險評估準備工作包括以下內容：

• 明確開展風險評估的目的：比如滿足組織業務持續發展在安全方面的需要、符合相關主管方的要求或遵守法律法規的規定等。

• 確定風險評估范圍和邊界：風險評估范圍和邊界的確定是開展風險評估的前提，這決定了風險評估任務的大小。風險評估范圍可能是組織的全部信息及與信息處理相關的各類資產、管理機構，也可能是某個獨立的系統、關鍵業務流程、與客戶知識產權相關的系統或部門等。評估范圍必須明確，即定義風險評估的物理邊界和邏輯邊界。

• 明確風險評估參與人員的角色和責任：組建一支風險評估與管理實施團隊，保證風險評估工作的有效開展，以支持整個過程的推進，如成立由管理層、相關業務骨干、IT技術人員等組成的風險評估小組。風險評估小組確定后，應得到組織最高管理者的支持、批準，并對管理層和技術人員進行傳達，并在組織范圍內就風險評估的相關內容進行培訓，以明確各有關人員在風險評估中的任務。

• 制訂評估行動計劃：風險評估行動計劃用于指導實施風險評估工作的后續開展，一般包括評估團隊成員、組織結構、角色、責任等內容。風險評估各階段的工作計劃，包括工作內容、工作形式、工作成果等。項目實施的時間進度安排，包括現場測試時間、報告制作時間等。

• 選擇并確認風險評估工具和方法：風險信息獲取需要相關工具的支撐，包括漏洞掃描工具、滲透測試工具、風險評估輔助工具。風險值的計算基于風險要素的識別結果，通過風險函數得到，比如矩陣法和相乘法。

• 準備相關表格：比如資產清單、現場檢查表、風險判別矩陣等。表8-1給出資產風險判別矩陣，它是根據風險發生可能性與損失等級來計算風險的矩陣判別表，風險發生的可能性損失等級均劃分為5個等級，分別用1、2、3、4、5表示，風險等級的取值范圍為1～25。

回答所涉及的環境：聯想天逸510S、Windows 10。