在信息化時代，企業(yè)信息安全風險非常重要。通過開展安全風險評估，企業(yè)可以有效地預防和應(yīng)對各種安全威脅，*企業(yè)的穩(wěn)健發(fā)展。

　　信息安全風險評估，騰創(chuàng)實驗室（廣州）有限公司（簡稱“騰創(chuàng)實驗室”）依據(jù)《國家信息化領(lǐng)導小組關(guān)于加強信息安全*工作的意見》（中辦發(fā)[2003]27號）、《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）、GB/T 20984-2022《信息安全技術(shù) 信息安全風險評估方法》等標準規(guī)范，進行信息系統(tǒng)安全*能力級的符合性測評。風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機

　　1.資產(chǎn)識別

　　資產(chǎn)識別是風險評估的核心環(huán)節(jié)。資產(chǎn)按照層次可劃分為業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)。因此資產(chǎn)識別應(yīng)從三個層次進行識別。

　　2.威脅識別

　　威脅識別的內(nèi)容包括威脅的來源、主體、種類、動機、時機和頻率

　　3.脆弱性識別

　　如果脆弱性沒有對應(yīng)的威脅,則無需實施控制措施，但應(yīng)注意并監(jiān)視他們是否發(fā)生變化。相反，如果威脅沒有對應(yīng)的脆弱性,也不會導致風險。應(yīng)注意,控制措施的不合理實施、控制措施故障或控制措施的誤用本身也是脆弱性�？刂拼胧┮蚱溥\行的環(huán)境,可能有效或無效。脆弱性可從技術(shù)和管理兩個方面進行審視。技術(shù)脆弱性涉及 IT 環(huán)境的物理層、網(wǎng)絡(luò)層、系統(tǒng)層應(yīng)用層等各個層面的安全問題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面,前者與具體技術(shù)活動相關(guān),后者與管理環(huán)境相關(guān)。

　　4.風險分析

　　組織應(yīng)在風險識別基礎(chǔ)上開展風險分析,風險分析應(yīng):根據(jù)威脅的能力和頻率,以及脆弱性被利用難易程度,計算安全事件發(fā)生的可能性;a)根據(jù)安全事件造成的影響程度和資產(chǎn)價值，計算安全事件發(fā)生后對評估對象造成的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失,計算系統(tǒng)資產(chǎn)面臨的風險值:d根據(jù)業(yè)務(wù)所涵蓋的系統(tǒng)資產(chǎn)風險值綜合計算得出業(yè)務(wù)風險值。