4.4.1　正確選擇風(fēng)險(xiǎn)評(píng)估方法

正確的風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估的基本條件，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)識(shí)別的必然發(fā)展。評(píng)估的最終目的是為了實(shí)施正確的管理和控制。

風(fēng)險(xiǎn)評(píng)估以風(fēng)險(xiǎn)主體、風(fēng)險(xiǎn)因素為研究對(duì)象。在信息安全領(lǐng)域中就是以信息系統(tǒng)、信息資產(chǎn)的脆弱性和可能面臨的威脅作為研究對(duì)象，說明每種風(fēng)險(xiǎn)因素產(chǎn)生、發(fā)展和消亡的規(guī)律，評(píng)估每種風(fēng)險(xiǎn)因素所致的風(fēng)險(xiǎn)事件對(duì)風(fēng)險(xiǎn)主體（信息資產(chǎn)）可能造成的損害概率與損害程度。

在信息安全風(fēng)險(xiǎn)評(píng)估階段，風(fēng)險(xiǎn)分析人員需要說明威脅和脆弱性產(chǎn)生的條件、發(fā)展的軌跡、安全事件發(fā)生的概率以及安全事件對(duì)信息資產(chǎn)可能造成的危害，目的是在了解風(fēng)險(xiǎn)因素產(chǎn)生、發(fā)展和消亡規(guī)律以及風(fēng)險(xiǎn)可能發(fā)生的時(shí)間、地點(diǎn)、概率和方式的基礎(chǔ)上，有針對(duì)性地、有的放矢地制定風(fēng)險(xiǎn)管理和控制措施，以確保信息系統(tǒng)、信息資產(chǎn)的安全。

在風(fēng)險(xiǎn)評(píng)估和評(píng)估方法選擇上應(yīng)考慮到以下幾點(diǎn)：

①評(píng)估結(jié)果只是一個(gè)參考值，不可能是一個(gè)絕對(duì)正確的數(shù)學(xué)答案，不可能與未來的實(shí)際情況完全一致；

②風(fēng)險(xiǎn)評(píng)估結(jié)果是動(dòng)態(tài)變化的；

③風(fēng)險(xiǎn)評(píng)估方法通常是根據(jù)風(fēng)險(xiǎn)動(dòng)態(tài)變化的一般規(guī)律或數(shù)理統(tǒng)計(jì)定理而設(shè)計(jì)的，在風(fēng)險(xiǎn)評(píng)估過程中應(yīng)避免以簡(jiǎn)單的邏輯推理替代辯證的邏輯思維；

④風(fēng)險(xiǎn)評(píng)估方法具有多樣性，評(píng)估方法的選用取決于評(píng)估的意圖、對(duì)象和條件，風(fēng)險(xiǎn)分析人員應(yīng)根據(jù)具體情況做出選擇，風(fēng)險(xiǎn)評(píng)估過程中可以多種評(píng)估方法綜合運(yùn)用。