信息安全评估

      风险评估有时候也称为风险分析，是组织使用适当的风险评估工具，依据国内外有关信息安全相关标准，对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估，包括信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，从信息资产、信息系统、业务流程等多个维度，评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。风险评估是信息安全管理的基础，它为安全管理的后续工作提供方向和依据，后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制的效果也必须通过对剩余风险的评估来衡量。

▽风险评估服务可帮助企业或组织了解自身网络信息系统的安全状况；

▽通过资产重要性分析明确需要重点保护的资产信息；

▽通过系统弱点分析、威胁分析、安全措施的有效性分析确定各项资产所面临的真实安全威胁问题；

▽由于风险评估的流程复杂、技术难度大、历时久、周期长等问题，严重困扰着行业企业或组织风险评估工作的实施；

▽计划和准备（组织在正式进行风险评估之前，应该制定一个有效的风险评估计划，明确风险评估的目标，限定评估的范围，建立相关的组织结构并委派责任，并采取有效措施来采集风险评估所需的信息和数据）

▽风险评估行动计划

▽人员访谈

▽调查问卷

▽文件审核

▽以前的审计和评估结果

▽对外部案例和场景的分析

▽现场勘查（通过以上服务过程采集的信息，可以供风险评估各个阶段的活动分析使用，包括资产识别与评价、威胁评估、弱点评估等）