【项目管理】生命周期风险评估

规划阶段目标：识别系统的业务战略，以支撑系统的安全需求及安全战略

规划阶段评估重点：1、本阶段不需要识别资产和脆弱性；2、应根据被评估对象的应用对象、应用环境、业务状况、操作要求等方面识别威胁；

设计阶段目标：评估安全设计方案是否满足系统安全功能的需求。

设计阶段评估重点：

以安全建设方案评审的方式进行；

重点分析来自物理环境和自然的威胁，以及由于内外部入侵造成的威胁；

技术实现以及人员、组织管理等方面的脆弱性识别；

4、系统开发方法的选择；

实施阶段目标：对系统开发、实施过程进行风险识别，对建成后的系统安全功能进行验证

实施阶段评估重点：已识别的安全威胁进一步细分；评估安全措施的实现程度；对系统的开发与技术/产品获取、系统交付实施进行评估

运行阶段目标：了解和控制运行过程中的安全风险（较全面）

运行阶段评估重点：战略评估、业务评估、资产评估、威胁评估、脆弱性评估、风险分析、定期或发生重大变更时开展

废弃阶段目标：对废弃资产对组织的影响进行分析

废弃阶段评估重点：对废弃资产对组织的影响进行分析，并根据不同的影响制定不同的处理方式