信息安全风险评估是以安全建设为出发点, 依据是ISO/IEC31000ISO/IEC13335ISO/IEC270005,GB/T20984等有关技术标准。它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。
      信息安全风险评估的分类主要包括
1、系统安全风险评估
2、应用安全风险评估
3、网站安全风险评估
4、等级保护差距分析