怎么开展风险评估

自评估

是由被评估信息系统的拥有者发起，依靠自身的力量参照法规与标准，对其自身的信息系统进行的风险评估活动。

检查评估

检查评估则通常是被评估信息系统的拥有者的上级主管---或业务主管---发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。

委托评估

是由被评估信息系统的拥有者发起，委托安全服务机构，参照法规与标准，对其维护的信息系统进行的风险评估活动。

---风险评估模型

      风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。下图---框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。如下图中的风险要素及属性之间存在着以下关系：