2.评估用户组织风险环境
ISO/IEC TR 13335-1把风险的定义为特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估,即利用适当的风险评估工具、包括定性与定量的方法,确定资产风险等级和优先控制顺序。
通过风险评估,上图中位于“主要高商业风险”区域的风险对组织的安全水平有着显著的影响,是应主要加以控制的风险;位于“高可能性”和“高影响”区域的风险要根据组织的接受风险的能力,可适当加以控制;位于“低风险”区域的风险只要是处于组织可以接受的水平,一般可以忽略。