安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產(chǎn)遭受威脅所造成的損失預(yù)期值還要高，那么所建議的控制措施就是不合適的。如果控制措施的費用比企業(yè)的安全預(yù)算還要高，則也是不合適的。但是，如果預(yù)算不足以提供足夠數(shù)量和質(zhì)量的控制措施，從而導(dǎo)致不必要的風(fēng)險，則應(yīng)該對其進(jìn)行關(guān)注。通常，一個控制措施能夠?qū)崿F(xiàn)多個功能，功能越多越好。當(dāng)考慮總體安全性時，應(yīng)該考慮盡可能地保持各個功能之間地平衡，這有助于總體安全有效性和效率。


評估過程◆資產(chǎn)識別與賦值：對評估范圍內(nèi)的所有資產(chǎn)進(jìn)行識別，并調(diào)查資產(chǎn)破壞后可能造成的損失大小，根據(jù)危害和損的大小為資產(chǎn)進(jìn)行相對賦值；資產(chǎn)包括硬件、軟件、服務(wù)、信息和人員等；◆威脅識別與賦值：即分析資產(chǎn)所面臨的每種威脅發(fā)生的頻率，威脅包括環(huán)境因素和人為因素；◆脆弱性識別與賦值：從管理和技術(shù)兩個方面發(fā)現(xiàn)和識別脆弱性，根據(jù)被威脅利用時對資產(chǎn)造成的損害進(jìn)行賦值；◆風(fēng)險值計算：通過分析上述測試數(shù)據(jù)，進(jìn)行風(fēng)險值計算，識別和確認(rèn)高風(fēng)險，并針對存在的安全風(fēng)險提出整改建議?！舯辉u估單位可根據(jù)風(fēng)險評估結(jié)果防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的水平，為地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。


1、企業(yè)應(yīng)適時組織風(fēng)險評價工作，識別與生產(chǎn)經(jīng)營活動有關(guān)的危險、有害因素和隱患。2、企業(yè)應(yīng)定期評審或檢查風(fēng)險評價結(jié)果和風(fēng)險控制效果。3、企業(yè)應(yīng)在下列情形發(fā)生時及時進(jìn)行風(fēng)險評價：1）新的或變更的法律法規(guī)或其他要求；2）操作條件變化或工藝改變；3）技術(shù)改造項目；4）有對事件、事故或其他信息的新認(rèn)識；5）組織機(jī)構(gòu)發(fā)生大的調(diào)整。


4.10.2識別危害（危險源）方法（1）按物的不安全狀態(tài)（使事故可能發(fā)生的不安全舞臺條件或物質(zhì)條件）進(jìn)行識別GB6441-86《企業(yè)職亡事故分類》中將物的不安全狀態(tài)歸納為防護(hù)、保險、信號等裝置缺乏或有缺陷，設(shè)備、設(shè)施、工具附件有缺陷，個人防護(hù)用品用具缺少或有缺陷以及生產(chǎn)（施工）場地環(huán)境不良等4大類。（2）按人的不安全行為（違反安全規(guī)則或安全常識，使事故有可能發(fā)生的行為）進(jìn)行識別GB6441-86《企業(yè)職亡事故分類》中將人的不安全行為歸納為操作失誤、造成安全裝置失效、使用不安全設(shè)備等13大類。（3）按導(dǎo)致事故和職業(yè)危害的直接原因進(jìn)行識別根據(jù)GB/T13861-92《生產(chǎn)過程危險和有害因素分類與代碼》的規(guī)定，將生產(chǎn)過程中的危險、危害因素分為6類：物理性危險和有害因素、化學(xué)性危險和有害因素、生物性危險和有害因素、心理和生理性危險和有害因素、行為性危險和有害因素、其他危險和有害因素。