东莞ISO27001认证佛山中山信息安全管理体系认证咨询顾问培训辅导办理申请

风险评估

简单讲，在这程之前都是关于数据收集和事实评估的。此前的各个阶段都有些事实上的关联。漏洞的识别方式可以分为技术的、逻辑的和物理的。组织针对这些 所做的决策将和他们统计这些威胁的动作有关。这意味着现在实际分析出来的风险同组织整体的―风险追求‖

有关，―风险追求‖即组织对风险所采取的愿望。风险 评估包含识别潜在的业务伤害，它们来自每项识别出的风险。

可能性

在此前，评估是在各种识别出的威胁拥有相同的发生的可能性下进行的。真实情况并不会如此，所以有必要评估相关影响发生的可能性或者概率。概率可以分级为―非常不可能到―时常会发生。

计算风险级别

后一步的工作是对每项影响计算出风险级别，并且将详细情况转交组织资产和风险日志。风险级别是影响和可能性综合作用的结果。经常将风险划为三个级别： 低、中和高。当可能的影响较低，而可能性也低时，风险级别可认定为低；当可能的影响和可能性都是高时，风险级别可认定为高；其它界于两者之间的可认定为中 级。然而，每个组织都可以根据自身实际情况分类和设定每项影响的风险级别。