信息安全風險評估是指參照風險評估標準和管理規範,分析信息系統的資產價值、潛在威脅、薄弱環節和采取的防護措施,判斷安全事件發生的概率和可能造成的損失,並提出風險管理措施的過程。風險評估應用到IT領域,就是信息安全的風險評估。
風險評估從早期的漏洞掃描、人工審計、滲透率測試等簡單的技術操作逐漸轉變為BS7799、ISO17799、國家標準《信息系統安全等級評估準則》等方法,充分體現了以資產為出發點,以威脅為觸發因素,以技術/管理/運營中的漏洞為誘因的信息安全風險評估的綜合方法和操作模式。
風險評估是風險管理的基礎,風險管理依靠風險評估的結果來確定後續的風險控制和審核批準活動,從而使組織能夠準確地“定位”風險管理的策略、實踐和工具。因此,安全活動的重點將放在重要問題上,並選擇合理和適用的安全對策。