风险评估三要素:风险辨识、风险分析、风险评价。
风险辨识:是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。
风险分析:是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
风险评价:是评估风险对企业实现目标的影响程度、风险的价值等。
从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。