風(fēng)險(xiǎn)評(píng)估：

信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范,，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅,、薄弱環(huán)節(jié),、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失,，提出風(fēng)險(xiǎn)管理措施的過程,。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于 IT 領(lǐng)域時(shí)，就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估,。

風(fēng)險(xiǎn)評(píng)估從早期簡(jiǎn)單的漏洞掃描,、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作,，逐漸過渡到目前普遍采用國際標(biāo)準(zhǔn)的 BS7799,、ISO17799、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則》等方法,，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn),、以威脅為觸發(fā)因素、以技術(shù) / 管理 / 運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型,。

信息系統(tǒng)的生命周期分為設(shè)計(jì),、實(shí)施、運(yùn)行維護(hù)和終銷毀這四個(gè)主要階段，每個(gè)階段進(jìn)行相應(yīng)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估,。風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全現(xiàn)狀,，確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ),。

風(fēng)險(xiǎn)評(píng)估的目的是全面,、準(zhǔn)確的了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀,，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害,，為系統(tǒng)終安全需求的提出提供依據(jù)。準(zhǔn)確了解組織的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀,。

風(fēng)險(xiǎn)評(píng)估的每一個(gè)步驟都非常重要：

步：風(fēng)險(xiǎn)辨識(shí)

進(jìn)行評(píng)估之前,，需要先對(duì)于每一個(gè)業(yè)務(wù)中的單元、各種相關(guān)的活動(dòng),、以及業(yè)務(wù)流程里面的重要環(huán)節(jié)都進(jìn)行反復(fù)的排查與辨識(shí),，看看這些項(xiàng)目都有著什么樣的風(fēng)險(xiǎn)，這樣子才能夠在大體上面對(duì)于風(fēng)險(xiǎn)情況有一個(gè)估計(jì),，做出一個(gè)基礎(chǔ)的判斷,。

二步：風(fēng)險(xiǎn)分析

在接下來的風(fēng)險(xiǎn)評(píng)估二步，就是在那些有風(fēng)險(xiǎn)辨識(shí)度的項(xiàng)目或是流程上面,，進(jìn)行仔細(xì)的分析,，看看這些風(fēng)險(xiǎn)的特征是什么，并且使用明確的定義來進(jìn)行描述,，從而能夠更為,，特別是使用數(shù)字或是檔位定義來明確這些風(fēng)險(xiǎn)的發(fā)生條件、以及風(fēng)險(xiǎn)的程度高低,，從而使得人們都能夠?qū)τ谶@些風(fēng)險(xiǎn)的發(fā)生可能性,、以及所會(huì)造成的后果有著更為直觀的認(rèn)知。

三步：風(fēng)險(xiǎn)評(píng)價(jià)

后一步就是進(jìn)行風(fēng)險(xiǎn)的終評(píng)價(jià)了,，也就是進(jìn)行正式的風(fēng)險(xiǎn)評(píng)估,，將企業(yè)方案、或是運(yùn)營目標(biāo)的終影響程度,、以及風(fēng)險(xiǎn)的可能性與價(jià)格,、可能的后果都進(jìn)行明確的量化評(píng)估，從而使得用戶可以更為明確地了解到自己是否應(yīng)該繼續(xù)這個(gè)方案,，是否足以承擔(dān)相關(guān)風(fēng)險(xiǎn),。