4.1.2　風(fēng)險(xiǎn)評估的基本特點(diǎn)

信息安全風(fēng)險(xiǎn)評估具有以下基本特點(diǎn)：

（1）決策支持性

所有的安全風(fēng)險(xiǎn)評估都旨在為安全管理提供支持和服務(wù)，無論它發(fā)生在系統(tǒng)生命周期的哪個(gè)階段，所不同的只在于其支持的管理決策階段和內(nèi)容。

（2）比較分析性

對信息安全管理和運(yùn)營的各種安全方案進(jìn)行比較，對各種情況下的技術(shù)、經(jīng)濟(jì)投入和結(jié)果進(jìn)行分析、權(quán)衡。

（3）前提假設(shè)性

在風(fēng)險(xiǎn)評估中所使用的各種評估數(shù)據(jù)有兩種，一是系統(tǒng)既定事實(shí)的描述數(shù)據(jù)；二是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的預(yù)測數(shù)據(jù)。不管發(fā)生在系統(tǒng)生命周期的哪個(gè)階段，在評估時(shí)，人們都必須對尚未確定的各種情況做出必要的假設(shè)，然后確定相應(yīng)的預(yù)測數(shù)據(jù)，并據(jù)此做出系統(tǒng)風(fēng)險(xiǎn)評估。沒有哪個(gè)風(fēng)險(xiǎn)評估不需要給定假設(shè)前提條件，因此信息安全風(fēng)險(xiǎn)評估具有前提假設(shè)性這一基本特性。

（4）時(shí)效性

必須及時(shí)使用信息安全風(fēng)險(xiǎn)評估的結(jié)果，過期則可能出現(xiàn)失效而無法使用，失去風(fēng)險(xiǎn)評估的作用和意義。

（5）主觀與客觀集成性

信息安全風(fēng)險(xiǎn)評估是主觀假設(shè)和判斷與客觀情況和數(shù)據(jù)的結(jié)合。

（6）目的性

信息安全風(fēng)險(xiǎn)評估的最終目的是為信息安全管理決策和控制措施的實(shí)施提供支持。