风险评估准备是整个风险评估过程有效性的保证。由于风险评估受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响，因此，在风险评估实施前，应充分做**估前的各项准备工作。信息安全风险评估涉及组织内部有关重要信息，被评估组织应慎重选择评估单位、评估人员的资质和资格，并遵从国家或行业相关管理要求。

在准备阶段需要做的工作内容如下：

① 确定评估目标；

② 确定评估范围；

③ 组建评估团队；

④ 评估工作启动会议；

⑤ 系统调研；

⑥ 确定评估依据和评估方法；

⑦ 选择相应的评估工具；

⑧ 制定评估方案。

为保证风险评估工作的进度要求和质量要求，有时不可能对所有资产做全面分析，应选取其中关键资产进行分析。
资产识别的一般步骤如下：① 根据评估目标和范围，确定风险评估对象中包含的信息系统；
② 识别信息系统处理的业务功能，以及处理业务所需的业务流程，特别应识别出关键业务功能和关键业务流程；
③ 根据业务特点和业务流程识别业务需要处理的数据和提供的服务，特别应识别出关键数据和关键服务；
④ 识别处理数据和提供服务所需的系统单元和系统组件，特别应识别出关键系统单元和关键系统组件。

zhaosheng555.b2b168.com/m/