風險評估是風險管理的根本依據，是對現有網絡的安全性進行分析的手資料，也是網絡安全領域內重要的內容之一。企業在進行網絡安全設備選型、網絡安全需求分析、網絡建設、網絡改造、應用系統試運行、內網與外網互聯、與第三方業務伙伴進行網上業務數據傳輸、電子政務等業務之前，進行風險評估會幫助組織在一個安全的框架下進行組織活動。它通過風險評估來識別風險大小，通過制定信息安全方針，采取適當的控制目標與控制方式對風險進行控制，使風險被避免、轉移或降至一個可被接受的水平。
信息安全風險評估的三個要素
1、風險識別
在風險評估之前，需要反復排查和辨識業務流程中的每個業務單元、各種相關活動和重要環節，看看這些項目有哪些風險，以便我們能夠對風險情況進行估計并做出基本判斷。
2、風險分析
仔細分析有風險識別的項目或過程，了解這些風險的特征，并使用明確的定義來描述它們，使用數字定義或檔位定義來明確這些風險的發生條件和程度，使人們能夠更直觀地了解這些風險的可能性和后果。
3、風險評估
第三個要素是終風險評估，即進行正式的風險評估，并對企業方案或經營目標的終影響以及風險的可能性、價格和可能后果進行明確的定量評估，讓使用者更清楚了解是否應繼續推行該計劃，是否足以承擔有關風險。

信息安全風險評估很多時候是用來了解信息系統目前當前的網絡安全防御能力和判斷是否存在一些已知的安全隱患。對于企業網絡安全風險和信息泄露風險有很大的幫助。
風險評估是為了查找并發現信息系統、IT環境、工作流程中存在的安全風險并進行修補，安全隱患，其實際意義包括：
1、通過資產發現、脆弱點掃描等技術手段，對現有應用系統、網絡、主機及工作環境進行的掃描發現和統計現有資產信息(包括設備、流程、制度等)，從資產管理角度發現僵尸設備，從系統安全性角度發現隱藏的安全漏洞，了解系統的脆弱性;
根據資產發現的結果進行風險掃描，可針對特定漏洞實時進行排查，形成風險評估表，計算風險的嚴重性并加以改進和加固。經過上述一系列系統信息安全建設，能夠在很大程度上提高信息系統的系統安全性和業務連續性。
2、通過安全評估和脆弱性分析，制定適合企業客觀條件、實際業務的安全策略、制度和目標;
通過安全風險評估，掌握信息系統的安全現狀，提出安全解決建議；結合企業客觀現狀和業務需求，制定有針對性的安全策略和短期、長期可落地的信息安全目標；協助進行企業信息安全體系制度的建設與落地；提出有實際意義的信息安全體系建設方針；將安全評估的結果作為下一階段工作的數據基礎；完成安全加固工作；網絡架構、主機安全、中間件及數據庫安全、WEB安全和安全管理是安全評估的。

風險評估的每一個步驟都非常重要
進行風險評估是非常重要的，而且是對于性要求比較高的一件事，所以人們也都應該好好地注意好進行評估的各個步驟，每一個步驟都真實到位，才能夠確保終出來的評估效果是可靠、準確的，所以我們也都應該好好地去做好每一個步驟。
一步：風險辨識
進行評估之前，需要先對于每一個業務中的單元、各種相關的活動、以及業務流程里面的重要環節都進行反復的排查與辨識，看看這些項目都有著什么樣的風險，這樣子才能夠在大體上面對于風險情況有一個估計，做出一個基礎的判斷。
二步：風險分析
在接下來的風險評估第二步，是在那些有風險辨識度的項目或是流程上面，進行仔細的分析，看看這些風險的特征是什么，并且使用明確的定義來進行描述，從而能夠更為，特別是使用數字或是檔位定義來明確這些風險的發生條件、以及風險的程度高低，從而使得人們都能夠對于這些風險的發生可能性、以及所會造成的后果有著更為直觀的認知。
三步：風險評價
一步是進行風險的終評價了，也是進行正式的風險評估，將企業方案、或是運營目標的終影響程度、以及風險的可能性與價格、可能的后果都進行明確的量化評估，從而使得用戶可以更為明確地了解到自己是否應該繼續這個方案，是否足以承擔相關風險。

風險評估準備是整個風險評估過程有效性的保證。由于風險評估受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響，因此，在風險評估實施前，應充分做**估前的各項準備工作。信息安全風險評估涉及組織內部有關重要信息，被評估組織應慎重選擇評估單位、評估人員的資質和，并遵從國家或行業相關管理要求。
在準備階段需要做的工作內容如下：
① 確定評估目標；
② 確定評估范圍；
③ 組建評估團隊；
④ 評估工作啟動會議；
⑤ 系統調研；
⑥ 確定評估依據和評估方法；
⑦ 選擇相應的評估工具；
⑧ 制定評估方案。
我們服務宗旨是：以質量求生存、信譽是保證。誠信待人，靈活經營、講究效率。愿與各界朋友精誠合作，攜手共創美好的明天。
http://www.binhaimarina.cn