( )不属于信息安全风险评估的合规性要求。
应以保障组织业务使命为导向,开展信息安全风险评估工作
信息安全风险评估应贯穿信息系统的规划、设计、实施、运行维护以及废弃各个阶段
应参照GB/T20984《信息安全技术 信息安全风险评估方法》制定风险评估流程
应确保风险评估结果完全符合组织的预期.
风险评估方面的合规性要求如下:
1)应以保障组织业务使命为导向,开展信息安全风险评估工作,以风险评估作为安全需求的输入;
2)信息安全风险评估应贯穿信息系统的规划、设计、实施、运行维护以及废弃各个阶段;
3)应参照 GB/T20984《信息安全技术 信息安全风险评估方法》,制定风险评估流程,覆 盖风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险处 置等环节;
4)应确保并持续改进风险评估模型、方法和工具的合理性和适用性。