BS 7799并没有准确定义风险评估的方法，组织可以根据自身的情况，开发适合自己的风险评估方法。即便如此，靠一个临时小组的头脑风暴提出组织信息安全风险的做法也是不合适的。因为标准要求组织选择系统性的风险评估方法，从威胁、薄弱点、影响、可能性四个各方面来识别风险、评估风险，这和目前信息安全管理领域普遍采用的信息安全风险评估惯例的思想是一致。

　　科飞公司在开发自己的风险评估方案时，广泛吸收了国际信息安全风险评估最佳指南，这包括：

　　·ISO Guide 73:2002——风险管理术语
    ·ISO/IEC TR 13335—IT安全管理指南
    ·BSI PD3002—BS 7799风险评估和风险管理指南
    ·SAA/SNZ HB 231—信息安全风险管理指南
    ·OCTAVE—关键威胁、资产和弱点实用评估方法。

一、风险评估的理论基础

　　在风险评估之前，必须在信息安全风险管理的上下文前提下，准确定义什么是风险，风险的主要元素及其相互关系。

　　资产：对组织有价值的任何东西。这个概念对组织的挑战是用尽量少的冗余，尽可能全面地识别组织的重要信息资产。

　　风险：威胁利用薄弱点对资产或资产组产生影响的潜在可能性和潜在影响的结合。组织需要从资产的威胁、薄弱点和影响三个方面来进行风险的识别。

　　威胁：对组织或系统产生危害的有害事件的潜在原因。

　　薄弱点：是一个资产或资产组能够被威胁利用的弱点。

　　影响：有害事件产生的后果。

　　风险评估：识别信息安全风险并确认其大小的过程。

　　这些风险元素之间的相互关系是这样的（见图1）：

                       图1 风险关系模型

　　·资产是具有价值的；
    ·薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成潜在影响；
    ·威胁、薄弱点或资产价值的增加都可能导致安全风险的增加；
    ·组织的信息安全要求源于安全风险的客观存在；
    ·组织通过安全控制降低安全风险，满足安全要求。

通过图1很容易看出，风险(R)是以资产(A)、威胁(T)、薄弱点(V)、影响(I)和已有安全控制(C)为自变量的一个函数。即：
  　R=F(A，T，V，I，C) .....公式1
    在实践过程中，一般通过
    R=F(P，I) ............公式2

　　来测量风险，其中P为威胁利用薄弱点对资产或资产组产生影响的潜在可能性，I为威胁利用薄弱点对资产或资产组可能造成的影响。公式中的P或I的值相对便于评估，而且在P和I的评估过程中都必须考虑资产、威胁、薄弱点和已有控制这四个因素，所以说公式2以便于测量的方式最大限度地体现了公式1的函数关系。

二、风险评估过程

　　我们采用BS 7799-2:2002所提倡的PDCA过程方法来策划和实施风险评估(PDCA过程方法详细信息见我刊43期《PDCA过程模式在信息安全管理体系的应用》一文)。

P—策划阶段

　　这个阶段的主要任务是定义风险评估的范围，确定风险评估基调(或方针)，并策划风险评估所需要的文档。

1、定义信息安全风险评估范围
　　如果组织要建立信息安全管理体系，可能在风险评估之前已经有一个确切的体系范围文档，只要保证评估范围涵盖体系范围即可。如果没有确切的体系范围文档，可以参照《PDCA过程模式在信息安全管理体系的应用》中建立信息安全管理体系的讨论，来建立风险评估范围文档。

2、定义信息安全方针
　　信息安全方针为信息安全管理提供目标和指标框架，是信息安全活动的方向和原则，也是风险评估过程中确定不可接受风险的重要依据。在风险评估之前建立完善的信息安全方针文档是不可能的，在此只要求建立关键方针，能够为后续活动提供框架即可，风险评估过程完成之后，其他详细的方针内容可以在风险评估之后补充。方针应该反映组织的使命、战略、目标、业务性质和安全要求。安全要求包括法律法规的要求、组织的主要风险类别和已有的信息安全方针。

3、开发风险评估的系统性方法和风险评估准则
　　风险评估可以采用定性、定量或者半定量的方法，评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。

　　风险评估准则的合理性对评估结果很重要，它决定着后续的处理范围，应该确保由此产生的风险与组织的实际情况相符，能够体现风险对组织使命和战略的影响。

　　实践证明，风险评估准则描述的概括性和无歧义性对评估的进度和结果的可信性影响很大，所谓“磨刀不误砍柴工”，在确定准则之前对组织的方针、目标、指标、客户期望和法律要求等做一番调查，以此确定合理的准则，能够做到事半功倍。

　　组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。

评估文件至少还应该规范下列评估细节：

　　a、信息安全管理体系内资产的估价，包括所用的价值尺度信息；
　　b、威胁及薄弱点的识别；
　　c、可能利用薄弱点威胁的评估，以及此类事故可能造成的影响；
　　d、以风险评估结果为基础的风险计算，以及剩余风险的识别。

实践证明，组织准备资产分类列表、威胁列表、薄弱点列表和潜在影响列表，可以确保评估的最低覆盖面，很大提高评估的进度。组织应该鼓励评估人员积极发现列表之外的风险元素，并对其进行评估。

4、确定风险评估活动的职责和时间表
　　有了方针和方法，要保证评估活动如期进行，应该策划风险识别和评估工作的人员职责、协调机制和进度安排，确保不遗漏重要风险，如期完成评估工作。评估可以按照资产类型、组织结构或业务过程、物理场所、项目等展开，这需要根据组织和业务的具体情况，灵活确定。

　　风险评估活动的进度安排一般应该获得最高管理者的批准，反映其优先权，以支持后续的活动，否则评估人员，尤其是阶段参与评估的人员很容易以手头工作忙推托评估责任，导致评估进度延期。

D—实施阶段

1、对相关人员进行评估培训
　　对组织采用的系统性风险评估方法进行培训，保证相关人员知晓评估范围，正确理解风险评估相关概念及其相互关系，正确理解评估准则。培训最好根据组织实际情况开发相关案例，使评估人员迅速理解评估思路，合理使用评估准则，正确判断风险。

2、风险识别
　　评估人员应该识别评估信息安全管理体系范围内的资产、对资产的威胁、可能被威胁利用的薄弱点，以及评估保密性、完整性和可用性丢失对资产的潜在影响。如果策划阶段产生了资产分类列表、威胁列表、薄弱点列表和潜在影响列表，参照选择上述列表可以省去很多时间，并能够保证识别质量。评估人员如果发现新的资产类别或者新的威胁、薄弱点，应该鼓励其进行识别和评估，并通过协调机制将列表之外的评估要素及时和其他评估人员沟通，如有必要，将其添加到列表内。

3、利用策划阶段定义的系统性方法评估风险
　　根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败可能引起的业务损害；根据与资产相关的主要威胁、薄弱点及其影响，以及目前实施的控制，评估此类风险发生的现实可能性，并利用既定的风险评估准则为风险要素赋值，计算风险等级。

　　确认上一次风险评估的不可接受风险得到正确处理，剩余风险是组织管理可以接受的。

4、确定风险可接受性，形成风险评估报告
　　风险评估报告是BS 7799-2:2002明确要求组织准备的一个文件，是风险评估的结论性报告，应该表述组织信息资产所面临的威胁、这些威胁能够利用的薄弱点以及由此而产生的风险的大小优先等级。

C—检查阶段

　　这个阶段的任务就是检查评估的合理性、充分性，寻找改进的机会。主要任务包括：

1、发现未识别或新增加的风险
　　组织可能存在策划和实施过程中都没得到识别的风险，可能由于信息安全意识的提高或者安全事件的提醒，得到管理层或评估人员的识别。另外组织可能因为组织结构、物理环境、信息系统、业务拓展等变化引入新的安全风险，需要及时识别。

2、审核评估过程，确保评估文件和准则得到执行
　　作为对风险评估过程的监督机制，组织应该安排审核，确保风险评估文件和评估准则得到贯彻执行。审核应该坚持独立性。

3、评审评估文件和评估准则的充分性和适宜性
　　随着时间的推移，评估文件和评估准则的充分性、效果、效率等都可能打折扣，组织应该根据需要识别这种变化，及时调整文件或准则，保证风险评估过程的高效和结果的充分。可能的变化包括：

　　·信息安全评估范围（包括位置、技术、系统、组织结构等）发生变化；
    ·组织的信息安全方针发生变化；
    ·合同方或适用的法律法规的信息安全要求发生很大变化；
    ·组织发生重大信息安全事故或引起注意的未曾识别的信息安全事件；

A—措施阶段

　　针对检查阶段发现的不符合或者其他改进机会，采取纠正和预防措施，保持风险评估过程的持续适应性。这个阶段组织可能进行以下操作：

    1、持续寻求改进机会；
    2、采取适当的纠正和预防措施；
    3、必要时修订风险评估文件和评估准则；
    4、与相关方沟通风险评估的新更改和新风险；
    5、总结经验，策划下一轮的评估工作。

　　组织通过这样一个能够持续改进评估效果和效率的PDCA循环，保证了风险评估过程和结果的持续适宜性。