风险评估的准备

风险评估的准备活动包括：

（1）、确定风险评估目标

（2）、确定风险评估范围

风险评估范围，包括组织内部与信息处理相关的各类软硬件资产、管理机构、人员、管理制度等等。包括范围内所有服务器、软硬件资产、网络设备、安全设备等。

风险评估范围可以是公司的一个IT，或多多个系统，也可以是以部门为基线等进行评估。

（3）组件评估管理团队和评估实施团队

（4）进行系统调研

包括管理制度、业务功能和要求、网络边界、网络环境、主要软硬件资产、数据和信息、系统和数据的敏感性、人员

采取方式：现场访谈，核查

（5）确定评估依据和方法

选择计算方法

（6）获得管理者对风险评估工作的支持。