信息系统安全风险评估应用：基础知识

7、风险评估必需由人来执行，由于风险评估人员的技术水平，经验值的高低，以及他们的评估态度，对风险评估的理解的各不相同等因素，都有可能造成错误的风险评估结果。

由于上述原因得到的错误信息系统安全风险评估结果，一旦被接受，那么就会给信息系统的安全防范带来新的安全风险，其后果是不可想象的。因此，我们必需在进行信息系统的风险评估过程中，遵守下面的风险评估规则，就可以有效降低上述错误因素的产生：

1、明白进行风险评估时，任何细节都是一样重要的，并且了解每个评估项目的评估目的；

2、注意风险评估过程中的每一个小细节。风险评估结果的有效性，往往体现在一些细节上面，这是因为一些重大的安全事故都是由于一些细小的安全弱点所引起的。另外，一个单独的小细节可能不会带来某类安全风险，但是，许多小细节累积后，一不小心，就会给信息系统带来重大的信息安全事故；

3、不要认为少花钱多办事就是好。现在，许多机构对于安全预算本来就少，因此，就要求安全风险评估必需在很少的时间内得到更多的效率。但是，如果你认为一个低效率的风险评估策略会为你节省一大笔的成本而决定使用它，那么，这个低效率的风险评估策略有可能不会将所有的安全风险检测出来。因而使用你在药费了时间和金钱进行风险评估的同时，你不能得到风险评估的任何好处，从侧面反而使你增加了安全成本和造成业务中断事件的可能性。

很显然，风险评估是需要一定的成本投入的，因此，当你在开始进行风险评估时，你就要考虑如何平衡评估效率和投入成本的问题，只有这两方达到一个满意的平衡，才能达最好的风险评估效率和效果；

4、对于涉及多个风险评估对象的风险评估过程，要有一个切合实际，考虑全面，可以被完全执行的风险评估策略。任何时候，我们都不要忽略策略在安全防范工作中的重要性。风险评估策略就是用来表明某次风险评估时的主要目的，以及要具体完成的任务，和一些操作细节等等。风险评估策略在风险评估过程中起到指导性的作用，控制整个评估过程；