信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過(guò)程。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)，是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。
系統(tǒng)存在著脆弱性，是我們常說(shuō)的技術(shù)上的漏洞，可以被利用的漏洞，我們有時(shí)候講脆弱性。再加上人為或自然的威脅，導(dǎo)致一些信息安全事件的發(fā)生的可能性及其造成的影響，特別是影響。也是說(shuō)脆弱性和威脅是原因，可能性和影響是結(jié)果，當(dāng)然還有一些其他的要素。信息安全風(fēng)險(xiǎn)評(píng)估是指對(duì)信息系統(tǒng)及其處理的傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)識(shí)別和評(píng)價(jià)的過(guò)程。
信息安全風(fēng)險(xiǎn)評(píng)估的三個(gè)要素
1、風(fēng)險(xiǎn)識(shí)別
在風(fēng)險(xiǎn)評(píng)估之前，需要反復(fù)排查和辨識(shí)業(yè)務(wù)流程中的每個(gè)業(yè)務(wù)單元、各種相關(guān)活動(dòng)和重要環(huán)節(jié)，看看這些項(xiàng)目有哪些風(fēng)險(xiǎn)，以便我們能夠?qū)︼L(fēng)險(xiǎn)情況進(jìn)行估計(jì)并做出基本判斷。
2、風(fēng)險(xiǎn)分析
仔細(xì)分析有風(fēng)險(xiǎn)識(shí)別的項(xiàng)目或過(guò)程，了解這些風(fēng)險(xiǎn)的特征，并使用明確的定義來(lái)描述它們，使用數(shù)字定義或檔位定義來(lái)明確這些風(fēng)險(xiǎn)的發(fā)生條件和程度，使人們能夠更直觀地了解這些風(fēng)險(xiǎn)的可能性和后果。
3、風(fēng)險(xiǎn)評(píng)估
第三個(gè)要素是終風(fēng)險(xiǎn)評(píng)估，即進(jìn)行正式的風(fēng)險(xiǎn)評(píng)估，并對(duì)企業(yè)方案或經(jīng)營(yíng)目標(biāo)的終影響以及風(fēng)險(xiǎn)的可能性、價(jià)格和可能后果進(jìn)行明確的定量評(píng)估，讓使用者更清楚了解是否應(yīng)繼續(xù)推行該計(jì)劃，是否足以承擔(dān)有關(guān)風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。由于風(fēng)險(xiǎn)評(píng)估受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響，因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)充分做**估前的各項(xiàng)準(zhǔn)備工作。信息安全風(fēng)險(xiǎn)評(píng)估涉及組織內(nèi)部有關(guān)重要信息，被評(píng)估組織應(yīng)慎重選擇評(píng)估單位、評(píng)估人員的資質(zhì)和，并遵從國(guó)家或行業(yè)相關(guān)管理要求。
在準(zhǔn)備階段需要做的工作內(nèi)容如下：
① 確定評(píng)估目標(biāo)；
② 確定評(píng)估范圍；
③ 組建評(píng)估團(tuán)隊(duì)；
④ 評(píng)估工作啟動(dòng)會(huì)議；
⑤ 系統(tǒng)調(diào)研；
⑥ 確定評(píng)估依據(jù)和評(píng)估方法；
⑦ 選擇相應(yīng)的評(píng)估工具；
⑧ 制定評(píng)估方案。

風(fēng)險(xiǎn)評(píng)估的每一個(gè)步驟都非常重要
進(jìn)行風(fēng)險(xiǎn)評(píng)估是非常重要的，而且是對(duì)于性要求比較高的一件事，所以人們也都應(yīng)該好好地注意好進(jìn)行評(píng)估的各個(gè)步驟，每一個(gè)步驟都真實(shí)到位，才能夠確保終出來(lái)的評(píng)估效果是可靠、準(zhǔn)確的，所以我們也都應(yīng)該好好地去做好每一個(gè)步驟。
一步：風(fēng)險(xiǎn)辨識(shí)
進(jìn)行評(píng)估之前，需要先對(duì)于每一個(gè)業(yè)務(wù)中的單元、各種相關(guān)的活動(dòng)、以及業(yè)務(wù)流程里面的重要環(huán)節(jié)都進(jìn)行反復(fù)的排查與辨識(shí)，看看這些項(xiàng)目都有著什么樣的風(fēng)險(xiǎn)，這樣子才能夠在大體上面對(duì)于風(fēng)險(xiǎn)情況有一個(gè)估計(jì)，做出一個(gè)基礎(chǔ)的判斷。
二步：風(fēng)險(xiǎn)分析
在接下來(lái)的風(fēng)險(xiǎn)評(píng)估第二步，是在那些有風(fēng)險(xiǎn)辨識(shí)度的項(xiàng)目或是流程上面，進(jìn)行仔細(xì)的分析，看看這些風(fēng)險(xiǎn)的特征是什么，并且使用明確的定義來(lái)進(jìn)行描述，從而能夠更為，特別是使用數(shù)字或是檔位定義來(lái)明確這些風(fēng)險(xiǎn)的發(fā)生條件、以及風(fēng)險(xiǎn)的程度高低，從而使得人們都能夠?qū)τ谶@些風(fēng)險(xiǎn)的發(fā)生可能性、以及所會(huì)造成的后果有著更為直觀的認(rèn)知。
三步：風(fēng)險(xiǎn)評(píng)價(jià)
一步是進(jìn)行風(fēng)險(xiǎn)的終評(píng)價(jià)了，也是進(jìn)行正式的風(fēng)險(xiǎn)評(píng)估，將企業(yè)方案、或是運(yùn)營(yíng)目標(biāo)的終影響程度、以及風(fēng)險(xiǎn)的可能性與價(jià)格、可能的后果都進(jìn)行明確的量化評(píng)估，從而使得用戶可以更為明確地了解到自己是否應(yīng)該繼續(xù)這個(gè)方案，是否足以承擔(dān)相關(guān)風(fēng)險(xiǎn)。

信息安全風(fēng)險(xiǎn)評(píng)估的目的是幫助企業(yè)了解系統(tǒng)目前和未來(lái)的風(fēng)險(xiǎn)所在，評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的安全威脅與影響程度，降低風(fēng)險(xiǎn)帶來(lái)的損失；也為企業(yè)制定安全策略、建設(shè)和維護(hù)信息系統(tǒng)提供有力的依據(jù)。同時(shí)通過(guò)第三方的評(píng)估，也會(huì)讓企業(yè)的客戶提高對(duì)該企業(yè)所提供的信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強(qiáng)企業(yè)及其產(chǎn)品的競(jìng)爭(zhēng)力。
我們將以企業(yè)管理逐步上升為發(fā)展方向，努力為當(dāng)?shù)氐慕?jīng)濟(jì)發(fā)展做出自己的貢獻(xiàn)。公司正以誠(chéng)信為宗旨，加快技術(shù)投入與改造力度，做精做強(qiáng)企業(yè)。公司堅(jiān)持為客戶服務(wù)，建設(shè)資源節(jié)約和環(huán)境友好型企業(yè)，實(shí)現(xiàn)企業(yè)可持續(xù)發(fā)展。
http://www.js-alpha.com