风险评估的基本过程二

4)进行系统调研

系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括：业务战略及管理制度；主要的业务功能和要求；网络结构与网络环境，包括内部连接和外部连接；系统边界；

主要的硬件、软件；数据和信息；系统和数据的敏感性；支持和使用系统的人员；其他。

系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格，供系统技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息。

5)确定评估依据和方法；

根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不仅限于）：现有国际标准、国家标准、行业标准；行业主管机关的业务系统的要求和制度；系统安全保护等级要求；系统互联单位的安全要求；系统本身的实时性或性能要求等。

据组织机构自身的业务特点、信息系统特点，选择适当的风险分析方法并加以明确，如定性风险分析、定量风险分析，或是半定量风险分析。

根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。