信息安全风险的概念

信息安全风险是人为或者自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。

信息安全风险评估就是从风险管理的角度，运用科学的方法和手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度的保障网络和信息安全提供科学依据。

为什么要做风险评估？

1、“三分技术，七分管理”我们的员工安全意识如何？

2、依靠现有的安全产品是否能够解决现在的安全问题？

3、现有的安全产品是否真正的起到了作用？

4、如果发生安全事故，我们能否再最短时间内恢复业务系统？

5、对未来的网络扩展和安全配置升级有没有前瞻性的规划？能否更多的节约投入成本？

风险评估的作用与意义

为用户提供具有针对性的安全产品和安全技术

给用户提供量化的信息资产价值列表和资产风险列表

可全面和有条理地向管理层反映现有的信息安全风险和所需的安全保障措施

为决策和政策考虑提供不同的解决方案，使信息安全管理能够从策略性的层面推行

为日后比较信息安全措施的变化提供依据