第三：信息安全风险评估

1、什么是风险评估

• 依据国际或国家标准中明确的风险计算模型，来对所评估对象目前所存在的信息安全风险进行分析的服务过程；

• 服务过程可主要分为评估对象的业务流程分析、资产分析、威胁分析、脆弱性分析、风险分析、风险处置等阶段；

• 通过现场实地观察、人员访谈、技术测试、数据分析等实施方法；

• 服务过程往往需要依靠专业检测工具来辅助；

2、哪些企业适合申请风险评估

• 致力于对外提供安全咨询、安全检测与加固、风险分析、IT治理等服务的组织；

• 希望作为中立的第三方，向需求方提供服务的组织；

3、风险评估工具

基于技术的工具：

扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；

入侵检测系统（IDS）：用于收集与统计威胁数据；

渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；

主机安全性审计工具：用于分析主机系统配置的安全性；

信息安全服务资质申请要素之四：公共管理和安全运维专业方向与评估表对标；