现状调查与风险评估的工作流程是怎样的？

 准备工作阶段：确定信息安全管理体系的范围，成立风险评估小组，制定风险评估计划，确定风险评估的方法与工具；

□ 现状调查：对组织的业务运作流程、安全管理机构、资产情况、信息系统网络拓扑结构、安全控制情况、法律法规适用与执行情况进行调查；

□ 列出与信息有关的资产清单，并对每一项资产估价；

□ 识别出资产所面临的威胁及其发生的可能性与潜在影响评价；

□ 识别出被威胁所利用的薄弱点并对其被利用的难易程度进行评价；

□ 对现有的安全控制措施进行确认；

□ 进行风险大小测量并确定优先控制等级；

□ 风险评估结果的评审与批准；

□ 编制适用的法律法规清单并对其符合性进行评估；

□ 结果分析与评价，主要任务是对调查结果进行分析，找出信息安全管理方面的缺陷及组织存在的信息安全风险，明确信息安全要求，选择适当的控制方式予以实施，将风险降低到可接受的水平。