信息安全风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。通过梳理客户的IT资产,识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素,对重要信息系统所面临的信息安全风险进行识别和定性评估,并对所有评估发现的不可接受风险给出对应的安全处置和加固建议,协助客户提升对重要信息系统的安全风险管理和安全保障能力。 

风险评估概念

风险评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的 可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

风险评估模型 

风险评估服务中所涉及的要素有业务、信息资产、脆弱性、威胁和风险,风险评估中所涉及的各个要素及相互关系如下图所示:


风险评估流程