信息系統風險評估有哪些角色

信息系統安全風險評估過程的順利進行需要一些相關的單位與人員的積極參與；而機構為支持信息系統安全風險評估的執行，必須在機構的管理體系內確立這些相關的角色。這些角色主要包括：

• 主管部門：責任是提出、制定并批準機構自身的信息安全風險管理策略，領導和組織本機構內的信息系統安全評估工作，以及基于機構內信息系統的特征和風險評估的結果，判斷信息系統殘余風險是否可接受，并確定信息系統是否可以投入運行，檢查信息系統運行中產生的安全狀態報告，定期或不定期地開展新的信息安全風險評估工作。

• 信息系統擁有者：需要制定安全計劃并上報主管機關審批。信息系統擁有者有責任組織實施信息系統自評估工作，也要配合強制性檢查評估或委托評估工作，并提供必要的文檔等資源。如果情況需要，也必須向主管機關提出新一輪風險評估的建議，并改善信息安全防護措施以達到有效的控制信息安全風險。

• 信息系統承建者：一般是指開發商或者系統集成商。在風險評估過程中，信息系統承建者需要根據信息系統建設方案的風險評估結果來修正安全方案，使安全方案成本合理、積極有效，并減少在建設階段引入的新風險，并確保安全組件產品得到了相關機構的認證。

• 信息系統安全評估機構：責任和義務是提供獨立的信息系統安全風險評估，對信息系統中的安全防護措施進行評估，以判斷這些安全防護措施在特定運行環境中的有效性，以及實現了這些措施后系統中存在的殘余風險。評估機構還要提出調整建議。此外，信息系統安全評估機構的最大責任是為被評估單位保密。評估機構必須深入整個被評估單位的各個層面，了解單位的機構架構、關鍵流程、管理規程，包括一些系統配置的機密信息，如網絡配置拓撲等。所以，風險評估結構的選擇十分重要，保護風險評估中獲得的敏感信息不被無關人員和單位獲得，這是評估單位和被評估單位最關心的問題。

• 信息系統的關聯機構：如后勤保障機構，人事管理機構，紀檢監察機構等，需要遵守安全策略、法規、合同等涉及信息系統交互行為的安全要求，減少信息安全風險，協助風險評估機構確定評估邊界，在風險評估中提供必要的資源和資料。

回答所涉及的環境：聯想天逸510S、Windows 10。