隨著信息技術的迅猛發(fā)展和互聯(lián)網(wǎng)的普及，新時代下的信息安全風險評估已成為各個企業(yè)和組織亟待解決的問題。

　　信息安全風險評估，騰創(chuàng)實驗室（廣州）有限公司（簡稱“騰創(chuàng)實驗室”）依據(jù)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《國家網(wǎng)絡與信息安全協(xié)調(diào)小組關于開展信息安全風險評估工作的意見》（國信辦[2006]5號）、GB/T 20984-2022《信息安全技術 信息安全風險評估方法》等標準規(guī)范，進行信息系統(tǒng)安全保障能力級的符合性測評。風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。

　　哪些情況，企業(yè)需要進行風險評估？

　　1、內(nèi)部信息系統(tǒng)自測評需要

　　一般一些大型的信息系統(tǒng)，在接入網(wǎng)絡之前，都需要第三方提供入網(wǎng)安全測評報告，這樣可以作為信息系統(tǒng)正式上線前的測評，為系統(tǒng)是否可以正式開始進行運作提供參考依據(jù)。另外，當大型系統(tǒng)進行了功能升級或者系統(tǒng)變更時，也需要出具入網(wǎng)安全評估報告。一般來說，物流倉儲系統(tǒng)、電力系統(tǒng)、系統(tǒng)、行政系統(tǒng)等等大型信息系統(tǒng)，會通過公開招標的方式來尋找合適的入網(wǎng)安評服務商。

　　2、第三方開發(fā)的信息系統(tǒng)驗收時

　　客戶要求在驗收時出具入網(wǎng)安全評估報告時，進行入網(wǎng)安全測評后客戶才可以更放心的使用您為他開發(fā)的信息系統(tǒng)，特別是一些涉及公司或單位的敏感數(shù)據(jù)的系統(tǒng)，更是需要入網(wǎng)安全測評。否則，一旦出現(xiàn)安全事故，對業(yè)主交產(chǎn)生非常嚴重的影響。而對于技術提供商來說，如果沒有開展入網(wǎng)安全評估，信息系統(tǒng)安全問題帶來的問題，很難分清楚責任歸屬，而且很有可能會需要承擔一定的賠償責任。

　　3、信息系統(tǒng)或軟件作為產(chǎn)品推廣時

　　當公司開發(fā)了具體一定通用性的信息系統(tǒng)或者軟件并規(guī)劃為產(chǎn)品進行推廣銷售時，入網(wǎng)安全測評是非常重要的，入網(wǎng)安全測評報告是產(chǎn)品參數(shù)非常必要的一項。近幾年國家和網(wǎng)信辦對信息化產(chǎn)品的安全規(guī)范越來越嚴格，產(chǎn)品具備入網(wǎng)安全測評報告不但能滿足安全規(guī)范，同時也能大大提高客戶的信任度和產(chǎn)品的競爭力，有利于產(chǎn)品的推廣和銷售。

　　信息安全服務資質(zhì)是對信息系統(tǒng)安全服務的提供者的技術、資源、法律、管理等方面的資質(zhì)和能力，以及其穩(wěn)定性、可靠性進行評估，并依據(jù)公開的標準和程序，對其安全服務保障能力進行認證的過程。

　　第1：資質(zhì)級別

　　信息安全服務資質(zhì)級別分為一級、二級、三級，其中一級，三級。資質(zhì)級別是衡量服務提供者服務能力的尺度。

　　第2：認證類別

　　1.安全集成服務資質(zhì)

　　2.安全運維服務資質(zhì)

　　3.風險評估服務資質(zhì)

　　4.應急服務資質(zhì)

　　5.軟件安全開發(fā)服務資質(zhì)

　　6.信息系統(tǒng)災難備份與恢復服務資質(zhì)

　　7.工業(yè)控制安全服務資質(zhì)

　　8.網(wǎng)絡安全審計服務資質(zhì)認證

　　信息安全風險評估是信息安全保障的基礎性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程。通過對信息系統(tǒng)提供風險評估服務，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風險，或?qū)�風險控制在可接受的水平，為網(wǎng)絡和信息安全保障提供科學依據(jù)。