在開始進行實際的信息系統安全風險評估操作前，先來了解一些有關信息系統安全風險評估的基礎知識，明白一些與安全風險評估相關的術語，將有助于讓你明了要如何才能完成一次信息系統安全風險評估。

一、我們為什么需要信息系統安全風險評估

很顯然，當要我們很欣然地接受和使用某一種新技術來協助我們進行安全防范工作時，這種技術就必需有能夠驅使我們去使用它的理由。這此理由也就是這種技術在某個安全防范方面的主要作用，而我們也就是沖它的這些主要作用才去使用它的。

對于信息系統安全風險評估來說，我們在本文的開頭中已經大概了解了他的定義，從它的定義當中，我們可以了解到風險評估可以在信息系統的生命周期的各個階段使用。由于信息系統生命周期的各個階段的安全防范目的不同，致使使用風險評估的目的也各不相同，因此，信息系統生命周期每個階段進行的風險評估產生的作用也各不相同。

信息系統的生命周期分為設計、實施、運行維護和最終銷毀這四個主要階段，每個階段進行相應的信息系統安全風險評估的主要作用如下所示：

1、在信息系統生命周期的設計和實施階段，使用信息系統安全風險評估可以起到了解目前系統到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說服機構領導同意安全策略的完全實施等作用。

2、在信息系統生命周期的運行維護階段，使用信息系統安全風險評估可以起到如下的作用：

（1）了解防火墻、IDS及其它安全設備是否真的按原先配置的意圖在運行，它們實際的安全防范效果是否有滿足安全目標的要求；

（2）了解安全防范策略是否切合實際，是否被全面執行；

（3）檢驗機構內部員工的安全意識，網絡操作行為及數據使用方式是否正常；

（4）當信息系統因某種原因做出硬件或軟件調整后，使用信息系統安全風險評估來確定原本的安全

措施是否依然有效，如果不行，應當在哪些方面做出相應的修改等等。

3、在信息系統生命周期的最終銷毀階段，可以使用信息系統安全風險評估來檢驗應當完全銷毀的

數據或設備，確實已經不能被任何方式所恢復；淘汰的信息系統中的設備確實已經被妥善保管，沒有被流失出去的危險等作用。

二、信息系統安全風險評估的通用處理流程

信息系統安全風險評估不是一個可以隨意就能完成的任務，為了能保證風險評估按一定的方式有序、正確地執行，以及評估結果的真實有效；也為了能減少在風險評估過程中有可能產生的有意或無意錯誤；同時還為了提高風險評估的效率，縮短評估的時間，以減少對正常業務的影響。為信息系統安全風險的評估工作制定一個有效的處理流程是很有必要的。

在現在出現了的一些信息系統風險評估標準中（例如我國，在2006年3月7日，由國務院信息化辦公室印發的《信息安全風險評估指南》），已經提出了處理風險評估的通用流程。但是，這些通用的風險評估流程并不包括具體細節，你和你的風險評估團隊應當根據需要評估的對象來自行決定。同時，我們在風險評估過程中，還要以這些風險評估標準作為評估結果的參考標準，以便給出具體的風險評估值。

在這里，我同樣只給出這個通用信息系統安全風險評估流程的主框架，具體的處理細節會在第二節中詳細說明。這個通徹的風險評估處理流程如下所示：

1、信息系統安全風險評估準備階段

2、信息系統安全風險評估對象風險檢測階段

3、信息系統安全風險評估對象風險檢測結果分析及給出評估報告階段

4、后期安全維護階段