風險評估是指從風險管理角度，依據(jù)國家有關信息安全技術標準和準則，運用科學的方法和手段，對信息系統(tǒng)及處理、傳輸和存儲信息的保密性、完整性及可用性等安全屬性進行科學地分析;對網(wǎng)絡與信息系統(tǒng)所面臨的威脅及存在的脆弱性進行系統(tǒng)的評價；對安全事件一旦發(fā)生可能造成的危害程度進行評估，并提出有針對性地抵御威脅的防護對策和整改措施。
信息安全風險評估的目的是幫助企業(yè)了解系統(tǒng)目前和未來的風險所在，評估這些風險可能帶來的安全威脅與影響程度，降低風險帶來的損失；也為企業(yè)制定安全策略、建設和維護信息系統(tǒng)提供有力的依據(jù)。同時通過第三方的評估，也會讓企業(yè)的客戶提高對該企業(yè)所提供的信息技術產品和系統(tǒng)可靠性的信心，增強企業(yè)及其產品的競爭力。

信息安全風險評估很多時候是用來了解信息系統(tǒng)目前當前的網(wǎng)絡安全防御能力和判斷是否存在一些已知的安全隱患。對于企業(yè)網(wǎng)絡安全風險和信息泄露風險有很大的幫助。
風險評估是為了查找并發(fā)現(xiàn)信息系統(tǒng)、IT環(huán)境、工作流程中存在的安全風險并進行修補，安全隱患，其實際意義包括：
1、通過資產發(fā)現(xiàn)、脆弱點掃描等技術手段，對現(xiàn)有應用系統(tǒng)、網(wǎng)絡、主機及工作環(huán)境進行的掃描發(fā)現(xiàn)和統(tǒng)計現(xiàn)有資產信息(包括設備、流程、制度等)，從資產管理角度發(fā)現(xiàn)僵尸設備，從系統(tǒng)安全性角度發(fā)現(xiàn)隱藏的安全漏洞，了解系統(tǒng)的脆弱性;
根據(jù)資產發(fā)現(xiàn)的結果進行風險掃描，可針對特定漏洞實時進行排查，形成風險評估表，計算風險的嚴重性并加以改進和加固。經過上述一系列系統(tǒng)信息安全建設，能夠在很大程度上提高信息系統(tǒng)的系統(tǒng)安全性和業(yè)務連續(xù)性。
2、通過安全評估和脆弱性分析，制定適合企業(yè)客觀條件、實際業(yè)務的安全策略、制度和目標;
通過安全風險評估，掌握信息系統(tǒng)的安全現(xiàn)狀，提出安全解決建議；結合企業(yè)客觀現(xiàn)狀和業(yè)務需求，制定有針對性的安全策略和短期、長期可落地的信息安全目標；協(xié)助進行企業(yè)信息安全體系制度的建設與落地；提出有實際意義的信息安全體系建設方針；將安全評估的結果作為下一階段工作的數(shù)據(jù)基礎；完成安全加固工作；網(wǎng)絡架構、主機安全、中間件及數(shù)據(jù)庫安全、WEB安全和安全管理是安全評估的。

風險評估準備是整個風險評估過程有效性的保證。由于風險評估受到組織的業(yè)務戰(zhàn)略、業(yè)務流程、安全需求、系統(tǒng)規(guī)模和結構等方面的影響，因此，在風險評估實施前，應充分做**估前的各項準備工作。信息安全風險評估涉及組織內部有關重要信息，被評估組織應慎重選擇評估單位、評估人員的資質和，并遵從國家或行業(yè)相關管理要求。
在準備階段需要做的工作內容如下：
① 確定評估目標；
② 確定評估范圍；
③ 組建評估團隊；
④ 評估工作啟動會議；
⑤ 系統(tǒng)調研；
⑥ 確定評估依據(jù)和評估方法；
⑦ 選擇相應的評估工具；
⑧ 制定評估方案。

信息安全風險評估的三個要素
1、風險識別
在風險評估之前，需要反復排查和辨識業(yè)務流程中的每個業(yè)務單元、各種相關活動和重要環(huán)節(jié)，看看這些項目有哪些風險，以便我們能夠對風險情況進行估計并做出基本判斷。
2、風險分析
仔細分析有風險識別的項目或過程，了解這些風險的特征，并使用明確的定義來描述它們，使用數(shù)字定義或檔位定義來明確這些風險的發(fā)生條件和程度，使人們能夠更直觀地了解這些風險的可能性和后果。
3、風險評估
第三個要素是終風險評估，即進行正式的風險評估，并對企業(yè)方案或經營目標的終影響以及風險的可能性、價格和可能后果進行明確的定量評估，讓使用者更清楚了解是否應繼續(xù)推行該計劃，是否足以承擔有關風險。
我們將以企業(yè)管理逐步上升為發(fā)展方向，努力為當?shù)氐慕洕l(fā)展做出自己的貢獻。公司正以誠信為宗旨，加快技術投入與改造力度，做精做強企業(yè)。公司堅持為客戶服務，建設資源節(jié)約和環(huán)境友好型企業(yè)，實現(xiàn)企業(yè)可持續(xù)發(fā)展。
http://www.js-alpha.com