信息安全风险评估的依据有哪些?

这对规范我国信息安全风险评估的做法具有很好的指导意义。

在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。

即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。