風(fēng)險(xiǎn)評(píng)估是指，在風(fēng)險(xiǎn)事件發(fā)生之前或之后（但還沒有結(jié)束），該事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即，風(fēng)險(xiǎn)評(píng)估就是量化測(cè)評(píng)某一事件或事物帶來(lái)的影響或損失的可能程度。

　　信息安全服務(wù)資質(zhì)是對(duì)信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)和能力，以及其穩(wěn)定性、可靠性進(jìn)行評(píng)估，并依據(jù)公開的標(biāo)準(zhǔn)和程序，對(duì)其安全服務(wù)保障能力進(jìn)行認(rèn)證的過(guò)程。

　　信息安全風(fēng)險(xiǎn)評(píng)估三級(jí)資質(zhì)

　　：資質(zhì)級(jí)別

　　信息安全服務(wù)資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)，其中一級(jí)，三級(jí)。資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。

　　第二：認(rèn)證類別

　　1.安全集成服務(wù)資質(zhì)

　　2.安全運(yùn)維服務(wù)資質(zhì)

　　3.風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)

　　4.應(yīng)急服務(wù)資質(zhì)

　　5.軟件安全開發(fā)服務(wù)資質(zhì)

　　6.信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)

　　7.工業(yè)控制安全服務(wù)資質(zhì)

　　8.網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證

　　信息安全風(fēng)險(xiǎn)評(píng)估的概念涉及資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)4個(gè)主要因素。

　　根據(jù)GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》，風(fēng)險(xiǎn)評(píng)估基本要素包括資產(chǎn)、威脅、脆弱性和安全措施并基于以上要素開展風(fēng)險(xiǎn)評(píng)估。

　　1.資產(chǎn)識(shí)別

　　資產(chǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估的核心環(huán)節(jié)。資產(chǎn)按照層次可劃分為業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)。因此資產(chǎn)識(shí)別應(yīng)從三個(gè)層次進(jìn)行識(shí)別。

　　2.威脅識(shí)別

　　威脅識(shí)別的內(nèi)容包括威脅的來(lái)源、主體、種類、動(dòng)機(jī)、時(shí)機(jī)和頻率

　　3.脆弱性識(shí)別

　　如果脆弱性沒有對(duì)應(yīng)的威脅,則無(wú)需實(shí)施控制措施，但應(yīng)注意并監(jiān)視他們是否發(fā)生變化。相反，如果威脅沒有對(duì)應(yīng)的脆弱性,也不會(huì)導(dǎo)致風(fēng)險(xiǎn)。應(yīng)注意,控制措施的不合理實(shí)施、控制措施故障或控制措施的誤用本身也是脆弱性�？刂拼胧┮蚱溥\(yùn)行的環(huán)境,可能有效或無(wú)效。脆弱性可從技術(shù)和管理兩個(gè)方面進(jìn)行審視。技術(shù)脆弱性涉及 IT 環(huán)境的物理層、網(wǎng)絡(luò)層、系統(tǒng)層應(yīng)用層等各個(gè)層面的安全問(wèn)題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面,前者與具體技術(shù)活動(dòng)相關(guān),后者與管理環(huán)境相關(guān)。

　　4.風(fēng)險(xiǎn)分析

　　組織應(yīng)在風(fēng)險(xiǎn)識(shí)別基礎(chǔ)上開展風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)分析應(yīng):根據(jù)威脅的能力和頻率,以及脆弱性被利用難易程度,計(jì)算安全事件發(fā)生的可能性;a)根據(jù)安全事件造成的影響程度和資產(chǎn)價(jià)值，計(jì)算安全事件發(fā)生后對(duì)評(píng)估對(duì)象造成的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失,計(jì)算系統(tǒng)資產(chǎn)面臨的風(fēng)險(xiǎn)值:d根據(jù)業(yè)務(wù)所涵蓋的系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)值綜合計(jì)算得出業(yè)務(wù)風(fēng)險(xiǎn)值。

　　信息安全風(fēng)險(xiǎn)評(píng)估，騰創(chuàng)實(shí)驗(yàn)室（廣州）有限公司（簡(jiǎn)稱“騰創(chuàng)實(shí)驗(yàn)室”）依據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）、《國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（國(guó)信辦[2006]5號(hào)）、GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》等標(biāo)準(zhǔn)規(guī)范，進(jìn)行信息系統(tǒng)安全保障能力級(jí)的符合性測(cè)評(píng)。風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。