4.風險評估和處理( treatment)

注意，本標題中將treatment翻譯為處理，在4.2中及其他地方一般翻譯為“處置”， 與風險評估的術(shù)語保持了一致。

4.1評估安全風險。本節(jié)對于風險評估并沒有給出具體方法，而僅僅作了整體的指導。組織可以按照GB/T 22080-2008／ISO/IEC 27001: 2005對風險評估的要求結(jié)合本節(jié)中的描述來選擇合適的風險評估方法。具體如下（原文中沒有分節(jié)和編號）：

a)風險評估宜對照風險接受準則和組織相關(guān)目標，識別、量化并區(qū)分風險的優(yōu)先次序。

b)風險評估的結(jié)果宜指導并確定適當?shù)墓芾泶胧┘捌鋬?yōu)先級，以管理信息安全風險并為防范這些風險實施選擇的控制措施。

c)風險評估應(yīng)使用一種能夠產(chǎn)生可比較和可再現(xiàn)結(jié)果的系統(tǒng)化的方式。

注：這是對風險評估的整體要求，風險評估的結(jié)果是為了指導控制措施的選擇，那么其結(jié)果必須體現(xiàn)風險的優(yōu)先次序，即至少得分出個等級來。注意這里談到的量化( quantify)風險，不是量化的風險評估方法，應(yīng)該是區(qū)分風險大小而引進的量化。

d)評估風險和選擇控制措施的過程可能需要執(zhí)行多次，以覆蓋組織的不同部門或各個信息系統(tǒng)。為使信息安全風險評估有效，它應(yīng)有一個清晰定義的范圍。如果合適，應(yīng)包括與其他領(lǐng)域風險評估的關(guān)系。如果可行、實際和有幫助，風險評估的范圍既可以是整個組織、組織的一部分、單個的信息系統(tǒng)、特定的系統(tǒng)部件，也可以是服務(wù)。

e)風險評估還宜定期進行，以應(yīng)對安全要求和風險情形的變化，例如資產(chǎn)、威脅、 脆弱性、影響、風險評價，發(fā)生重大變化時也應(yīng)進行風險評估。

注：這是對風險評估的范圍和執(zhí)行時間進行了指導，比較明確。

f)風險評估宜包括估計風險大小的系統(tǒng)方法（風險分析），將估計的風險與風險準則加以比較以確定風險嚴重性的過程（風險評價）。

注：對風險評估的過程進行指導，遠沒有GB/T 22080- 2008／IS()/IEC 27001: 2005中詳細。 g)風險評估方法的例子在IS()/IEC TR 13335 -3中討論。

注：本條款在GB/T 22080--2008／IS()/1EC 27001: 2005中也有，這是對選擇方法的更實際的引導。