信息系统风险评估有哪些模式

风险评估的模式可分自评估与他评估。

自评估

自评估是信息系统拥有单位依靠自身力量，对自有的信息系统进行的风险评估活动。信息系统的风险，不仅来自信息系统技术平台的共性，还来自特定的应用服务。由于具体单位的信息系统应用服务各具特色，这些个性化的过程和要求往往是敏感的，而且是没有长期接触该单位所属行业和部门的人难以在短期内熟悉和掌握的。因此，自评估有利于保密，有利于发挥行业和部门内的人员的业务特长，有利于降低风险评估的费用；有利于提高本单位的风险评估能力与信息安全知识。但是，如果没有统一的规范和要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位。在自评估中，也可能会存在来自本单位或上级单位领导的不利干预，从而出现风险评估结果不够客观或评估结果的置信度较低等问题。某些时候，即使自评估的结果比较客观，但也可能不会被管理层所信任。这种情况下，如果的确有必要实施自评估，或自评估的结果对管理层的决策关系重大，则可以采取专家组论证的方式加以解决。

他评估

他评估可以是检查性评估或委托评估。机构应根据实际情况和信息安全顾问的建议，经过批准，选择合适的风险评估模式。

检查评估则由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。这种评估具有强制性，是一种纯粹意义上的他评估，单位自身不能对该过程进行干预。此外，检查评估必须以明确的法规或标准为基础，这是通过行政手段加强信息安全的重要手段。

委托评估是指信息系统使用单位委托具有风险评估能力的专业评估机构（国家建立的测评认证机构或安全企业）实施的评估活动。它既有自评估的特点（由单位自身发起，且本单位对风险评估过程的影响可以很大），也有他评估的特点（由独立于本单位的另外一方实施评估）。在委托评估中，接受委托的评估机构一般拥有风险评估的专业人才，风险评估的经验比较丰富，对IT技术风险的共性了解得比较深入，评估过程较为规范，评估结果的客观性比较好、置信度比较高。但是，评估费用可能会较高，且可能会难以深入了解行业应用服务中的安全风险。必须着重指出，由于风险评估中必然会接触被评估单位的敏感情况，而且评估结果本身也属于敏感信息，因此委托评估中容易发生评估风险。另外，评估方应与系统承建者保持独立，他们不能是同一实体，但在评估中可以向系统承建者进行咨询。

风险评估的模式可分自评估与他评估：

• 自评估：自评估是信息系统拥有单位依靠自身力量，对自有的信息系统进行的风险评估活动。信息系统的风险，不仅来自信息系统技术平台的共性，还来自特定的应用服务。由于具体单位的信息系统应用服务各具特色，这些个性化的过程和要求往往是敏感的，而且是没有长期接触该单位所属行业和部门的人难以在短期内熟悉和掌握的。因此，自评估有利于保密，有利于发挥行业和部门内的人员的业务特长，有利于降低风险评估的费用；有利于提高本单位的风险评估能力与信息安全知识。但是，如果没有统一的规范和要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位。在自评估中，也可能会存在来自本单位或上级单位领导的不利干预，从而出现风险评估结果不够客观或评估结果的置信度较低等问题。某些时候，即使自评估的结果比较客观，但也可能不会被管理层所信任。这种情况下，如果的确有必要实施自评估，或自评估的结果对管理层的决策关系重大，则可以采取专家组论证的方式加以解决。

• 他评估：他评估可以是检查性评估或委托评估。机构应根据实际情况和信息安全顾问的建议，经过批准，选择合适的风险评估模式。