6.風險評估方式

1)自評估

由組織自身發起，依據國家有關法規與標準，對信息系統及其管理進行的風險評估活動。自評估應參考相應標準，依據制定的評估方案、評估準則，結合系統特定的安全要求進行實施。周期性進行的自評估可以在評估流程上適當簡化，重點針對自上次評估后系統發生變化后引人的新威脅，以及系統脆弱性的完整識別，以便于兩次評估結果的對比。但系統發生重大變更時，應進行完整的評估。

自評估可由發起方實施或委托風險評估服務技術支持方實施。由發起方實施的評估可以降低實施的費用、提高信息系統相關人員的安全意識，但可能由于缺乏風險評估的專業技能，其結果不夠深入準確；同時，受到組織內部各種因素的影響，其評估結果的客觀性易受影響。委托風險評估服務技術支持方實施的評估，過程比較規范、評估結果的客觀性比較好，可信程度較高；但由于受到行業知識技能及業務了解的限制，對被評估系統的了解，尤其是在業務方面的特殊要求存在一定的局限。但由于引人第三方本身就是一個風險因素，因此，對其背景與資質、評估過程與結果的保密要求等方面應進行控制。

此外，為保證風險評估的實施，與系統相連的相關方也應配合，以防止給其他方的使用帶來困難或引人新的風險。