■ 第一步：信息系统描述
    在进行信息系统风险评估时，第一步是进行信息系统描述，在该步需要完成的工作包括：信息系统调查、系统定级和资产划分等工作。
    信息系统调查：通过对信息系统进行调查，明确信息系统的使命、信息系统的边界及组成信息系统的资源和信息，确定风险评估的范围。可以通过系统介绍、调查问卷、现场面谈、文档审查以及自动扫描工具等方法完成该项工作，收集信息系统风险评估所需的信息。
    系统定级：根据相关安全标准对信息系统进行划分与定级，以确定信息系统风险评估的角度。可以依据国家或行业标准对信息系统进行合理的划分与定级。针对涉密系统和非涉密系统，信息系统完成的使命有所差异，风险评估的角度有所区别。
    资产分类：根据信息系统调查获取的信息，将信息系统资产划分为管理相关资产、物理环境相关资产、网络相关资产、业务应用系统相关资产，确定风险评估的对象。
    通过信息系统描述明确了系统范围、功能、系统和数据的关键性和敏感性。
    ■ 第二步：威胁识别
    在确定了风险评估的范围，完成信息系统描述后，接下来的工作是识别威胁。识别威胁需要查看以往的安全事件记录情况、根据入侵检测情况和专家经验对信息系统存在的威胁进行识别，分析可能的威胁源、威胁动机和目的以及威胁源具备的能力情况，确定系统可能遭受的威胁列表。
    ■ 第三步：脆弱性分析
    明确系统存在的威胁后，通过漏洞扫描、主机检测了解系统存在的技术脆弱性，通过渗透测试了解系统深层的脆弱性，通过专家经验对整个系统的薄弱环节进行分析，明确系统可能被威胁利用的在管理和技术方面的脆弱性情况。 
    ■ 第四步：安全措施分析
    对系统中现有的安全措施和规划中的安全措施进行调研与分析，明确安全措施解决了哪些系统中的脆弱性，缓解了哪些风险，规避或减少了哪些威胁利用脆弱性的可能性。
    ■ 第五步：可能性确定
    通过对威胁源、威胁动机和目标以及威胁源具备的攻击能力等因素的分析，确定威胁发生的可能性级别；通过综合分析威胁发生的可能性、脆弱性的性质以及安全控制措施的有效性，确定威胁利用脆弱性导致安全事件的可能性级别。
    ■ 第六步：影响分析
    通过对安全事件发生后所造成的影响进行分析，确定安全事件发生后对系统或信息在完整性、可用性和保密性等方面的影响级别。分析安全事件的影响时，需要考虑系统的使命、资产的重要程度、数据的关键性和敏感程度。
    ■ 第七步：风险确定
    通过对威胁源成功利用一个或多个脆弱性产生安全实际的可能性，威胁源成功利用脆弱性造成安全事件的影响程度，以及当前或规划中的安全控制措施的有效性进行分析，确定系统存在的风险及风险等级。
    ■ 第八步：安全要求确定
    根据信息系统的定级情况，查阅相关的国家或行业标准，确定信息系统的基本安全要求；根据风险评估结果对信息系统的基本安全要求进行调整，得出信息系统在管理、物理及网络以及业务应用系统方面的安全要求。综合考虑为满足信息系统的安全规划以及安全法律法规与标准的相关规定提出的安全要求，结合前面得出的各方面的安全要求，确定信息系统的安全要求。
    ■ 第九步：报告撰写
    风险评估的最后一步为《信息系统风险评估报告》的编写。报告编写完后提交用户进行审议，当双方对风险评估报告达成一致时，风险评估项目完成。
    当风险评估项目完成后，一般会跟进两方面的工作：安全加固或信息系统安全保障系统的设计与建设。

四、结束语
    等级保护与风险评估的提出，在信息系统安全建设方面有了新的思路、新的武器，通过等级保护相关制度及政策的指导，保证重点系统重点投入。通过对信息系统进行风险评估，保证信息系统安全建设的合理性与有效性，真正体现重点系统重点防护的等级保护思想，从而促进信息系统的健康发展。

(责任编辑：adminadmin2008)