信息安全风险评估途径包括哪些

风险评估途径包括基线评估、详细评估和组合评估三种。

• 基线评估

安全基线是诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,使系统能达到一定的安全防护水平。可选的安全基线包括:国际标准和国家标准，例如ISO 27001、信息安全等级保护;

• 详细评估

对资产进行详细识别和评价，对可能引起风险的威胁和脆弱性水平进行评估，根据风险评估的结果来识别和选择安全措施，即识别资产的风险并将风险降到可接受的水平，以此证明管理者所采用的安全措施是恰当的。

• 组合评估

采用基于基线评估与详细评估两者之间的评估方式。

方法是组织应先对所有系统进行一次初步的高级风险评估。着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险或对其商务运作极为关键的信息资产(或系统)，这些资产或系统应划分在详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。