GBT《信息安全技术信息安全风险评估规范》中可增加以下描述:风险评估过程中应充分考虑组织业务目标、业务流程及关键业务资产,确保风险评估与业务需求紧密结合。风险评估需识别信息资产面临的威胁、存在的脆弱性以及可能造成的影响,同时分析安全事件发生的可能性。评估过程应遵循系统性、科学性和可重复性原则,采用定性与定量相结合的方法,确保评估结果的客观性和准确性。风险评估报告应包含风险等级划分、风险处置建议及后续改进措施,为组织制定风险管控策略提供依据。风险评估应定期开展或当业务环境、技术架构发生重大变化时重新启动,确保风险管理的持续有效性。
