什么是网络安全风险评估，有什么用？

一、定义

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。

风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

二、风险评估对企业的重要性

企业对信息系统依赖性不断增强，而且存在无处不在的安全威胁和风险，从组织自身业务的需要和法律法规的要求的角度考虑，更加需要增强对信息风险的管理。风险评估是风险管理的基础，风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动，使得组织能够准确“定位”风险管理的策略、实践和工具。从而将安全活动的重点放在重要的问题上，选择成本效益合理的、适用的安全对策。

风险评估可以明确信息系统的安全现状，确定信息系统的主要安全风险，是信息系统安全技术体系与管理体系建设的基础。

三、风险评估的个步骤：

步骤1：描述系统特征

步骤2：识别威胁（威胁评估）

步骤3：识别脆弱性（脆弱性评估）

步骤4：分析安全控制

步骤5：确定可能性

步骤6：分析影响

步骤7：确定风险

步骤8：对安全控制提出建议

步骤9：记录评估结果

四、风险评估的作用

任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统（包括信息系统）所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。