評估概述

風險評估是依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。

信息安全風險評估是加強信息安全保障體系建設和管理的關鍵環節。通過開展信息安全風險評估工作，可以發現組織和信息系統在安全方面存在的主要問題和矛盾。運用信息安全風險評估方法，定期開展安全性評估活動，從風險管理角度出發，科學客觀地分析被評估信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改建議。能夠有效的防范和降低信息系統的安全風險，將風險控制在可接受的水平，從而提升信息系統的安全保障能力。

法律依據

《網絡安全法》第十七條 國家推進網絡安全社會化服務體系建設，鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務；

《網絡安全法》第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門；

《國家電子政務工程建設項目管理暫行辦法》（國家發改委令第55號）第三十一條要求“項目建設單位應在完成項目建設任務后的半年內，組織完成建設項目的信息安全風險評估和初步驗收工作”。

參考依據

GB/T 20984-2007 《信息安全技術 信息安全風險評估規范》

GB/T 31509-2015 《信息安全技術 信息安全風險評估指南》

GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》

GB/Z 24364-2009 《信息安全技術 信息安全風險管理指南》

GB/T 33132-2016 《信息安全技術 信息安全風險處置實施指南》

GB/T 31722-2015 《信息技術 安全技術 信息安全風險管理》

其他行業相關標準或規范

ISO/IEC 27005-2018 《信息技術 信息安全技術 信息安全風險管理》

NIST SP800-30 《風險評估實施指南》

評估領域

關鍵信息基礎設施

電子政務工程建設項目

金融行業

能源行業

工控行業

海關、保險、民航、云計算及其他相關行業及場景

評估對象

組織

關鍵業務過程

信息安全方針、策略

信息安全管理體系

信息系統的物理環境、網絡架構、網絡設備、安全設備、服務器 、數據庫、應用中間件、應用系統等

評估流程