信息安全風險評估是參照風險評估標準和管理規範,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。當風險評估應用於IT領域時,就是對信息安全的風險評估。
風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統安全等級評測準則》等方法,充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。
風險評估是風險管理的基礎,風險管理要依靠風險評估的結果來確定隨後的風險控制和審核批準活動,使得組織能夠準確“定位”風險管理的策略、實踐和工具。從而將安全活動的重點放在重要的問題上,選擇成本效益合理的、適用的安全對策。