信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得机构能够准确“定位”风险管理的策略、实践和工具，能够将安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，已被广泛应用于各个领域。机构利用评估结果持续地进行改进活动，实现风险有效管理，才能使机构的安全状态得到改善。评估好坏的评价标准在于其对随后的风险控制和审核批准的指导作用，良好和确切的风险评估是成功的信息安全风险管理的基础。

1. 是信息安全建设工作的必要前提和基础
2. 成为安全体系建设不可或缺的科学依据
3. 风险评估是全面风险管理工作的重要支撑
4. 风险评估的专业特性有能力支持风险管理的实施
5. 推行全面风险管理为机构价值的最大化提供合理保证

技术风险评估

风险的三个要素为“资产”、“威胁”和“脆弱性”。安全风险模型是整个安全风险评估过程的主导。“资产”由于自身的“脆弱性”，使得各种“威胁”的发生成为可能，从而形成风险，这种可能一旦成为现实，则会造成“影响”。换句话说，风险分析的过程实际上就是对“影响”、“威胁”和“脆弱性”分析的过程，但它们都紧紧围绕着“资产”。“威胁”是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，“威胁”是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。“脆弱性”是指资产或资产组中能被“威胁”所利用的漏洞，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么影响，它们只有在被各种安全威胁利用后才可能造成相应的危害。
技术风险评估是指利用技术手段在非管理层面进行的风险评估操作，查找网络层、系统层和应用层等方面的存在的技术风险的一种评估方法。

服务流程

管理风险评估

依据国内外信息安全管理标准、国家信息安全政策、业内信息安全最佳实践，评估客户方的安全管理状况。采用对相关组织领导、部门管理人员、IT技术人员及基层人员进行访谈；对生产和办公环境进行检查；对策略文件进行评估等方法，查找客户信息安全管理与标准、规范、最佳实践之间的差距，提出具体解决建议。
通过安全管理评估，可以客观地发现客户存在的信息安全管理问题。提供安全建议，指导客户解决信息安全管理问题。

服务流程

全面风险评估

全面风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对单位造成的影响。并对依据风险评估结果进行的风险管理提出具体安全建议。
全面风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言，存在风险并不意味着不安全，只要风险控制在可接受的范围内，就可以达到系统稳定运行的目的。全面风险评估的结果为保障信息系统的安全建设、稳定运行提供了技术参考。在规划与设计阶段，全面风险评估的结果是安全需求的来源，为信息系统的安全建设提供依据；在系统运行维护阶段，由于信息系统的动态性，需要定期地进行风险评估，以了解、掌握系统安全状态，是保证系统安全的动态措施。同时，全面风险评估也是信息系统安全等级保护、管理体系、技术体系建立等工作的一项不可或缺工具和手段。

服务流程