组织可以选择不同的风险评估方法，每一种方法都有其优点和不足，在平衡考虑选择哪种评估方法时组织应该考虑：

□　组织的业务背景；

□　该业务的性质和重要程度；

□　组织业务、业务支持系统、应用程序和服务的复杂程度；

□　组织业务对该信息新系统的依赖程度；

□　组织业务合作伙伴的多少、外部业务和合同关系；

□　对这个信息系统投入成本的高低，即为了开发、维护或替换这个信息系统及其资产的成本，这也是一个机构为它直接赋予的价值。

　　这些因素存在于每一种业务中，在选择评估方法是应该参照这些因素考虑各种方法的优点和不足。通常来说越重要、越关键、一旦发生灾难带来的损失越大的业务，组织应该为其安全投入更多的时间和资源。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　[返回]