公共和私营部门的机构都依靠信息技术和信息系统来执行任务和业务功能。信息系统包含着涉及面极广的各种实体,其中从办公室网络、财务和人事系统到高度专业化的系统(例如工业/流程控制系统、武器系统、电信系统和环境控制系统),应有尽有。信息系统易受严重威胁(threat)侵扰;这些威胁利用已知和未知脆弱性(vulnerability)破坏信息系统处理、存储或传输的信息的保密性、完整性或可用性,进而给机构运行和资产、人员、其他机构和国家带来负面影响。对信息系统的威胁包括蓄意攻击、环境公害、人为/机器错误和结构性故障,会对美国的国家和经济利益造成伤害。因此,所有各级领导人和经理必须充分了解自己的职责,切实担负起管理信息安全风险的责任——即管好运行和使用支撑着本单位任务和业务功能的信息系统带来的风险。
风险评价(risk assessment)是NIST特别出版物800-39所述机构风险管理流程的基本组成部分之一。风险评价用于识别、估计和按优先重点排列因信息系统的运行和使用而给机构运行(包括任务、功能、形象和信誉)、机构资产、人员、其他机构和国家带来的风险。风险评价的目的是通过识别以下情况向决策者提供信息和支持风险响应:
1、针对机构的威胁或通过本机构指向其他机构的威胁。
2、机构内部和外部的脆弱性。
3、威胁利用脆弱性时所可能给机构造成的影响(即伤害)。
4、伤害发生的可能性。
风险评价可在风险管理分层体系的所有三个层级进行——其中包括,第1层,机构层面;第2层,任务/业务流程层面;第3层,信息系统层面。在第1层和第2层,机构通过风险评价来评估,例如,与机构治理和管理活动、任务/业务流程、企业架构或信息安全方案资金调拨相关的系统性信息安全风险。在第3层,机构利用风险评价来更有效地支持风险管理框架(Risk Management Framework)的执行工作,即安全分类,安全控制的挑选、执行和评价,信息系统和通用控制授权,以及安全控制监测。