風險評估包含哪些準備工作

風險評估是組織確定信息安全需求的過程，包括資產識別與評價、威脅和弱點評估、控制措施評估、風險認定在內的一系列活動。風險評估準備工作包括：

確定風險評估的目標

- 根據滿足組織業務持續發展在安全方面的需要、 法律法規的規定等內容，識別現有信息系統及管理上的不足，以及可能造成的風險大小。

確定風險評估的范圍

- 風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產、管理機構，也可能是某個獨立的信息系統、關鍵業務流程、與客戶知識產權相關的系統或部門等。

組建適當的評估管理與實施團隊

- 風險評估實施團隊，由管理層、相關業務骨干、IT技術等人員組成風險評估小組。
- 評估實施團隊應做好評估前的表格、文檔、檢測工具等各項準備工作，進行風險評估技術培訓和保密教育，制定風險評估過程管理相關規定。

進行系統調研

- 系統調研是確定被評估對象的過程，風險評估小組應進行充分的系統調研，為風險評估依據和方法的選擇、評估內容的實施奠定基礎。
- 調研內容至少應包括：業務戰略及管理制度；主要的業務功能和要求；網絡結構與網絡環境，包括內部連接和外部連接；系統邊界；主要的硬件、軟件；數據和信息；系統和數據的敏感性；支持和使用系統的人員。
- 系統調研可以采取問卷調查、 現場面談相結合的方式進行

確定評估依據和方法

- 根據系統調研結果，確定評估依據和評估方法。
- 評估依據包括（但不僅限于）：現有國際標準、國家標準、行業標準；行業主管機關的業務系統的要求和制度；系統安全保護等級要求；系統互聯單位的安全要求；系統本身的實時性或性能要求等。
- 據組織機構自身的業務特點、信息系統特點，選擇適當的風險分析方法并加以明確，如定性風險分析、定量風險分析，或是半定量風險分析。
- 根據評估依據，應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體的風險計算方法，并依據業務實施對系統安全運行的需求，確定相關的判斷依據，使之能夠與組織環境和安全要求相適應。

制定風險評估方案

- 風險評估方案的目的是為后面的風險評估實施活動提供一個總體計劃， 用于指導實施方開展后續工作。
- 風險評估方案的內容一般包括（但不僅限于）：
- 團隊組織：包括評估團隊成員、組織結構、角色、責任等內容；
- 工作計劃：風險評估各階段的工作計劃，包括工作內容、工作形式、工作成果等內容；
-  時間進度安排：項目實施的時間進度安排。

獲得最高管理者對風險評估工作的支持

- 上述所有內容確定后，應形成較為完整的風險評估實施方案，得到組織最高管理者的支持、批準；
- 對管理層和技術人員進行傳達， 在組織范圍就風險評估相關內容進行培訓， 以明確有關人員在風險評估中的任務。

回答所涉及的環境：聯想天逸510S、Windows 10。