信息安全风险评估，让风险看得见！

为什么需要信息安全风险评估？

政策依据：

　　1.《关于进一步加强国家电子政务工程建设项目管理工作的通知》（发改高[2008]2544号）
　　2.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
　　3.《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令[2007]第55号）
　　4.《广东省电子政务信息安全管理暂行办法的通知》（粤府〔2003〕52号）
　　5.2019年工业和信息化部公开征求对《关于促进网络安全产业发展的指导意见（征求意见稿）》的意见，主要任务 （二）指出支持专业机构和企业开展网络安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务，规范漏洞扫描、披露等活动。

信息安全风险评估，腾创实验室依据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等标准规范，进行信息系统安全保障能力级的符合性测评。风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

风险评估要素

信息资产价值：软件、硬件、数据、服务、人员等。

威胁可能性：任何可能发生的、为组织或某种特定资产带来所不希望的或不想要结果的事情。

弱点/脆弱性：资产中的弱点或防护措施/对策的缺乏被称为脆弱性。

安全措施：能消除脆弱性或对付一种或多种特定威胁的任何方法。

 现场评估实施结束后，评估小组根据测评指导书各个评估项的结果记录进行评估分析，汇总评估结果，并进行整体评估分析，从而形成合理、可信任的评估结论，最后完成评估报告的编制及建议。

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》指出：

风险评估应贯穿于评估对象生命周期各阶段中。评估对象生命周期各阶段中涉及的风险评估原则和方法是一致的，但由于各阶段实施内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段，通过风险评估以确定评估对象的安全目标:在建设验收阶段，通过风险评估以确定评估对象的安全目标达成与否:在运行维护阶段，要持续的实施风险评估以识别评估对象面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。因此，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。