NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

风险评估考虑对组织运营和资产、个人、其他组织以及国家的威胁、脆弱性、可能性和影响。风险评估还考虑来自外部方的风险，包括代表组织操作系统的承包商、访问组织系统的个人、服务提供商和外包实体。组织可以在风险管理层次的三个层面（即组织层面、任务/业务流程层面或信息系统层面）以及系统开发生命周期的任何阶段进行风险评估。风险评估也可以在风险管理框架的各个步骤中进行，包括准备、分类、控制选择、控制实施、控制评估、授权和控制监控。风险评估是一项贯穿系统开发生命周期的持续活动。风险评估也可以涉及与系统相关的信息，包括系统设计、系统的预期用途、测试结果以及供应链相关的信息或产物。风险评估在控制选择过程中可以发挥重要作用，特别是在应用定制指导和能力确定的早期阶段。