参考答案

①信息系统安全风险评估常用的模式有基线评估、详细评估和组合评估。
1)基线评估。采用基线风险评估，企业根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。
这种评估模式需要的资源少，评估周期短，操作简单，是最经济有效的风险评估模式。但是，基线水平的高低确定困难。
2)详细评估。详细评估要求对信息系统中的所有资源都进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。
这种评估模式集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。但这种评估模式需要相当多的财力、物力、时间、精力和专业能力的投入，最后获得的结果有可能有一定的时间滞后。
3)组合评估。组合评估是上述两种模式的结合。它首先对所有信息系统进行一次较高级别的安全分析，并关注每一个实际分析对整个业务的价值以及它所面临的风险的程度。然后对业务非常重要或面临严重风险的部分进行详细评估分析，对其他部分进行基线评估分析。这种评估模式注意了耗费与效率之间的平衡，还注意了高风险系统的安全防范。
②建议可实施的一般控制以防止上述数据被删掉的事件再次发生：
第一、设定适当的权限范围，以配合个别的职务。以防止不相关的职员（如后勤部职员）能够获得或删掉重要的分析数据。
第二、制定相关守则或政策，立即终止有关离职雇员对重要信息系统（如载有重要内部数据的系统）的所有访问权限。