隨著信息技術(shù)的迅猛發(fā)展和互聯(lián)網(wǎng)的普及，新時代下的信息安全風(fēng)險評估已成為各個企業(yè)和組織亟待解決的問題。

　　信息安全風(fēng)險評估，騰創(chuàng)實驗室（廣州）有限公司（簡稱“騰創(chuàng)實驗室”）依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦[2006]5號）、GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》等標(biāo)準(zhǔn)規(guī)范，進行信息系統(tǒng)安全保障能力級的符合性測評。風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度。

　　哪些情況，企業(yè)需要進行風(fēng)險評估？

　　1、內(nèi)部信息系統(tǒng)自測評需要

　　一般一些大型的信息系統(tǒng)，在接入網(wǎng)絡(luò)之前，都需要第三方提供入網(wǎng)安全測評報告，這樣可以作為信息系統(tǒng)正式上線前的測評，為系統(tǒng)是否可以正式開始進行運作提供參考依據(jù)。另外，當(dāng)大型系統(tǒng)進行了功能升級或者系統(tǒng)變更時，也需要出具入網(wǎng)安全評估報告。一般來說，物流倉儲系統(tǒng)、電力系統(tǒng)、系統(tǒng)、行政系統(tǒng)等等大型信息系統(tǒng)，會通過公開招標(biāo)的方式來尋找合適的入網(wǎng)安評服務(wù)商。

　　2、第三方開發(fā)的信息系統(tǒng)驗收時

　　客戶要求在驗收時出具入網(wǎng)安全評估報告時，進行入網(wǎng)安全測評后客戶才可以更放心的使用您為他開發(fā)的信息系統(tǒng)，特別是一些涉及公司或單位的敏感數(shù)據(jù)的系統(tǒng)，更是需要入網(wǎng)安全測評。否則，一旦出現(xiàn)安全事故，對業(yè)主交產(chǎn)生非常嚴(yán)重的影響。而對于技術(shù)提供商來說，如果沒有開展入網(wǎng)安全評估，信息系統(tǒng)安全問題帶來的問題，很難分清楚責(zé)任歸屬，而且很有可能會需要承擔(dān)一定的賠償責(zé)任。

　　3、信息系統(tǒng)或軟件作為產(chǎn)品推廣時

　　當(dāng)公司開發(fā)了具體一定通用性的信息系統(tǒng)或者軟件并規(guī)劃為產(chǎn)品進行推廣銷售時，入網(wǎng)安全測評是非常重要的，入網(wǎng)安全測評報告是產(chǎn)品參數(shù)非常必要的一項。近幾年國家和網(wǎng)信辦對信息化產(chǎn)品的安全規(guī)范越來越嚴(yán)格，產(chǎn)品具備入網(wǎng)安全測評報告不但能滿足安全規(guī)范，同時也能大大提高客戶的信任度和產(chǎn)品的競爭力，有利于產(chǎn)品的推廣和銷售。

　　信息安全服務(wù)資質(zhì)是對信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)和能力，以及其穩(wěn)定性、可靠性進行評估，并依據(jù)公開的標(biāo)準(zhǔn)和程序，對其安全服務(wù)保障能力進行認(rèn)證的過程。

　　第1：資質(zhì)級別

　　信息安全服務(wù)資質(zhì)級別分為一級、二級、三級，其中一級，三級。資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。

　　第2：認(rèn)證類別

　　1.安全集成服務(wù)資質(zhì)

　　2.安全運維服務(wù)資質(zhì)

　　3.風(fēng)險評估服務(wù)資質(zhì)

　　4.應(yīng)急服務(wù)資質(zhì)

　　5.軟件安全開發(fā)服務(wù)資質(zhì)

　　6.信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)

　　7.工業(yè)控制安全服務(wù)資質(zhì)

　　8.網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)認(rèn)證

　　信息安全風(fēng)險評估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程。通過對信息系統(tǒng)提供風(fēng)險評估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風(fēng)險，或?qū)�風(fēng)險控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。