风险评估的流程和各阶段的工作内容

请简述一下风险评估流程及各阶段工作内容

确定风险评估的目标

明确风险评估要达到的目的

确定风险评估的范围

明确评估对象如某信息系统，明确评估边界，明确不在评估范围内的内容

组建适当的评估管理与实施团队

明确组织架构和职责分工，包括：
管理层（决策与资源支持）
评估负责人（总体协调与进度控制）
技术人员（负责漏洞分析、系统测试）
业务代表（提供业务流程与关键资产信息）

进行系统调研

调查系统的结构、功能、业务流程、运行环境及安全措施
收集文档资料
通过访谈、问卷、现场查看等方式了解系统实际运行情况

确定评估依据和方法；

明确评估所依据的标准、规范或政策
选择评估方法：
定性评估
定量评估
混合评估

建立风险评价准则

确定风险等级划分标准。
明确风险接受标准，即组织可容忍的风险水平。
形成风险评价矩阵，用于后续风险分级与排序

制定评估方案，并获得最高管理者的支持和批准

综合前述内容，编制《风险评估实施方案》
向最高管理者汇报，争取资源与授权