信息安全風(fēng)險(xiǎn)評(píng)估，依據(jù)《GB/T 20984-2007 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，通過風(fēng)險(xiǎn)評(píng)估項(xiàng)目的實(shí)施，對(duì)信息系統(tǒng)的重要資產(chǎn)、資產(chǎn)所面臨的威脅、資產(chǎn)存在的脆弱性、已采取的防護(hù)措施等進(jìn)行分析，對(duì)所采用的安全控制措施的有效性進(jìn)行檢測(cè)，綜合分析、判斷安全事件發(fā)生的概率以及可能造成的損失，判斷信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)管理建議，為系統(tǒng)安全保護(hù)措施的改進(jìn)提供參考依據(jù)。

　　哪些情況，企業(yè)需要進(jìn)行風(fēng)險(xiǎn)評(píng)估？

　　1、內(nèi)部信息系統(tǒng)自測(cè)評(píng)需要

　　一般一些大型的信息系統(tǒng)，在接入網(wǎng)絡(luò)之前，都需要第三方提供入網(wǎng)安全測(cè)評(píng)報(bào)告，這樣可以作為信息系統(tǒng)正式上線前的測(cè)評(píng)，為系統(tǒng)是否可以正式開始進(jìn)行運(yùn)作提供參考依據(jù)。另外，當(dāng)大型系統(tǒng)進(jìn)行了功能升級(jí)或者系統(tǒng)變更時(shí)，也需要出具入網(wǎng)安全評(píng)估報(bào)告。一般來說，物流倉儲(chǔ)系統(tǒng)、電力系統(tǒng)、系統(tǒng)、行政系統(tǒng)等等大型信息系統(tǒng)，會(huì)通過公開招標(biāo)的方式來尋找合適的入網(wǎng)安評(píng)服務(wù)商。

　　2、第三方開發(fā)的信息系統(tǒng)驗(yàn)收時(shí)

　　客戶要求在驗(yàn)收時(shí)出具入網(wǎng)安全評(píng)估報(bào)告時(shí)，進(jìn)行入網(wǎng)安全測(cè)評(píng)后客戶才可以更放心的使用您為他開發(fā)的信息系統(tǒng)，特別是一些涉及公司或單位的敏感數(shù)據(jù)的系統(tǒng)，更是需要入網(wǎng)安全測(cè)評(píng)。否則，一旦出現(xiàn)安全事故，對(duì)業(yè)主交產(chǎn)生非常嚴(yán)重的影響。而對(duì)于技術(shù)提供商來說，如果沒有開展入網(wǎng)安全評(píng)估，信息系統(tǒng)安全問題帶來的問題，很難分清楚責(zé)任歸屬，而且很有可能會(huì)需要承擔(dān)一定的賠償責(zé)任。

　　3、信息系統(tǒng)或軟件作為產(chǎn)品推廣時(shí)

　　當(dāng)公司開發(fā)了具體一定通用性的信息系統(tǒng)或者軟件并規(guī)劃為產(chǎn)品進(jìn)行推廣銷售時(shí)，入網(wǎng)安全測(cè)評(píng)是非常重要的，入網(wǎng)安全測(cè)評(píng)報(bào)告是產(chǎn)品參數(shù)非常必要的一項(xiàng)。近幾年國家和網(wǎng)信辦對(duì)信息化產(chǎn)品的安全規(guī)范越來越嚴(yán)格，產(chǎn)品具備入網(wǎng)安全測(cè)評(píng)報(bào)告不但能滿足安全規(guī)范，同時(shí)也能大大提高客戶的信任度和產(chǎn)品的競(jìng)爭(zhēng)力，有利于產(chǎn)品的推廣和銷售。

　　騰創(chuàng)實(shí)驗(yàn)室（廣州）有限公司為企業(yè)提供全方位的信息化建設(shè)質(zhì)量技術(shù)支持，可提供信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)。待現(xiàn)場(chǎng)評(píng)估實(shí)施結(jié)束后，評(píng)估小組根據(jù)測(cè)評(píng)指導(dǎo)書各個(gè)評(píng)估項(xiàng)的結(jié)果記錄進(jìn)行評(píng)估分析，匯總評(píng)估結(jié)果，并進(jìn)行整體評(píng)估分析，從而形成合理、可信任的評(píng)估結(jié)論，完成評(píng)估報(bào)告的編制及建議。

　　《風(fēng)險(xiǎn)評(píng)估報(bào)告》是對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過程和結(jié)果進(jìn)行的總結(jié)，應(yīng)詳細(xì)說明被評(píng)估對(duì)象、風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容。《風(fēng)險(xiǎn)評(píng)估報(bào)告》是組織機(jī)構(gòu)確定信息安全需求的依據(jù)，為風(fēng)險(xiǎn)處理活動(dòng)提供輸入，是后續(xù)信息安全建設(shè)工作的基礎(chǔ)。