5.風(fēng)險評估途徑

1)基線評估( Baseline Risk Assessment，BRA)：

安全基線是諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，使系統(tǒng)能達到一定的安全防護水平。

可選的安全基線包括：國際標準和國家標準，例如BS2'7001、信息安全等級保護；行業(yè)標準或推薦，例如德國聯(lián)邦安全局IT基線保護手冊；來自其他有類似商務(wù)目標和規(guī)模的組織的慣例等。

適用范圍：組織的商業(yè)運作不是很復(fù)雜，對信息處理和網(wǎng)絡(luò)的依賴性不是很高，或者組織信息系統(tǒng)多采用普遍且標準化的模式。

評估策略：根據(jù)組織實際的情況，對信息系統(tǒng)進行基線檢查（用現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出差距），得出基本的安全需求。通過選擇并實施標準的安全措施來消減風(fēng)險和控制風(fēng)險。

2)詳細評估

對資產(chǎn)進行詳細識別和評價，對可能引起風(fēng)險的威脅和弱點水平進行評估，根據(jù)風(fēng)險評估的結(jié)果來識別和選擇安全措施。即識別資產(chǎn)的風(fēng)險并將風(fēng)險降到可接受的水平，以此證明管理者所采用的安全措施是恰當?shù)摹?/p>

3)組合評估：

采用基于基線評估與詳細評估兩者之間的評估方式。

方法：組織應(yīng)先對所有系統(tǒng)進行一次初步的高級風(fēng)險評估。著眼與信息系統(tǒng)的商務(wù)價值和可禽邑面臨的風(fēng)險，識別出組織內(nèi)具有高風(fēng)險或?qū)ζ渖虅?wù)運作極為關(guān)鍵的信息資產(chǎn)（或系統(tǒng)），這些資產(chǎn)或系統(tǒng)應(yīng)劃分在詳細風(fēng)險評估的范圍√而其他系統(tǒng)則可以通過基線風(fēng)險評估直接選擇安全措施。