信息安全风险评估是从风险管理角度，依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估系统面临的威胁以及脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响。并提出有针对性的抵御威胁的防范措施，将风险控制在可接受的范围内，达到系统稳定运行的目的。为保障信息系统的安全建设、稳定运行提供技术参考。

　　信息系统安全测评（风险评估）从技术和管理两方面进行，主要内容包括系统调查、资产分析、威胁分析、脆弱性测试、安全功能测试、安全管理检查，体系结构分析、脆弱性分析、安全功能与措施分析、风险分析等，出具安全测评（风险评估）报告，提出安全建议。

 　　在信息系统规划设计阶段，风险评估为信息系统的安全建设提供依据；在信息系统运行维护阶段，定期的风险评估是保证信息系统安全的动态措施，可以在信息系统动态变化过程中及时了解、掌握安全状态，将安全风险控制在可接受范围内。

 　　信息系统安全风险评估的内容：

　　◇网络脆弱性检测

　　对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面检测。

　　◇系统脆弱性检测

　　对操作系统安全性的全面检测。

　　◇应用脆弱性检测

　　对数据库管理系统、web服务器、中间件和应用软件的安全性进行全面检测。

　　◇管理脆弱性检测

　　对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面核查。

　　◇渗透性测试

　　对网络、数据库和应用系统存在的安全漏洞和隐患实施本地或远程的渗透性检测和验证，识别系统中存在的多种威胁攻击途径，并且提出规避措施。

信息系统风险评估流程