安全评估服务的作用

信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全---措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

---风险评估背景

      随着---、企---以及各行各业对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估方法去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和---措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而为保障信息安全提供科学依据。

什么是威胁评估

      威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。

      威胁评估采用的方法是问卷调查、问询、数据取样、日志分析。在这一过程中，首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁评估过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确认威胁的主体和客体。

做风险评估会带来什么收益

1、资产识别

      帮助您对组织内资产进行梳理，针对在传统资产清理过程中，比较容易被忽略的数据资产，服务资产等，使客户从原有的固定资产保护，提升为信息资产保护。

      帮助您进行组织内资产的分级管理，通过定量分析，明确各信息系统对客户的重要程度，通过有效整合信息系统的安全需求，在有限的资源环境下，---的提高客户的信息安全水平。

2、平衡安全风险和成本

      帮助您在安全建设过程中综合平衡安全风险与成本代价，信息安全工作的主要目标就是实现在较低资源消耗的情况下，达到较高的安全水平。通过对发现的问题和风险进行管理，提供方案建议，使客户避免投入大量资源，但安全工作仍迟迟不见起色的现象。

3、风险识别

     对关键信息资产进行梳理，识别资产的重要性；清晰自身所面临的威胁及其威胁方式方法，便于有针对性地防护。认识自身存在的脆弱性不足，能够有目的性的进行补遗---。同时可以了解网络与信息系统的安全状况，了解自身存在信息安全管理漏洞。