信息系統風險評估有哪些模式

風險評估的模式可分自評估與他評估：

• 自評估：自評估是信息系統擁有單位依靠自身力量，對自有的信息系統進行的風險評估活動。信息系統的風險，不僅來自信息系統技術平臺的共性，還來自特定的應用服務。由于具體單位的信息系統應用服務各具特色，這些個性化的過程和要求往往是敏感的，而且是沒有長期接觸該單位所屬行業和部門的人難以在短期內熟悉和掌握的。因此，自評估有利于保密，有利于發揮行業和部門內的人員的業務特長，有利于降低風險評估的費用；有利于提高本單位的風險評估能力與信息安全知識。但是，如果沒有統一的規范和要求，在缺乏信息系統安全風險評估專業人才的情況下，自評估的結果可能不深入、不規范、不到位。在自評估中，也可能會存在來自本單位或上級單位領導的不利干預，從而出現風險評估結果不夠客觀或評估結果的置信度較低等問題。某些時候，即使自評估的結果比較客觀，但也可能不會被管理層所信任。這種情況下，如果的確有必要實施自評估，或自評估的結果對管理層的決策關系重大，則可以采取專家組論證的方式加以解決。

• 他評估：他評估可以是檢查性評估或委托評估。機構應根據實際情況和信息安全顧問的建議，經過批準，選擇合適的風險評估模式。

回答所涉及的環境：聯想天逸510S、Windows 10。