1.风险评估准备过程2.资产识别过程3.威胁识别过程4.脆弱性识别过程5.风险分析过程

先分析这一段时间公司的网络安全现状，最好以图表的方式列出开，接下来综合分析数据，列出各个设备在这段时间工作的维护经验和不足，切记，一定要写出当前存在的安全隐患，最后写出解决方案及维护成本计算

信息安全风险评估包括：

A . 信息资源面临威胁

B . 信息资源的脆弱性

C . 需保护的信息资产

D . 存在的可能风险

信息安全风险评估是从风险管理的角度，运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，为防范和化解信息安全风险，或者将风险控制在可以接受的水平，制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。

信息安全风险包括手机信息安全风险，e-mail风险，腾讯聊天信息风险等等。

没有经过安全评估的系统可能会存在大量漏洞，如果被黑客利用会造成极大的损失。所以企业需要在业务系统上线时进行安全风险排查，免遭黑客入侵。主要步骤有：

对企业相关运维、开发、管理等人员进行访谈，发现企业日常工作、流程、管理、制度等存在的安全隐患；

检查企业相关制度文档，发现企业管理、流程等存在的安全问题；

通过基线检查，发现企业网络、主机、系统、应用等存在的错误配置、不符合项、弱口令等问题；

通过渗透测试，发现企业网络、主机、系统、应用等存在的安全隐患；

通过漏洞扫描，发现企业网络、主机、系统、应用等存在的安全漏洞；

提供专业的安全评估报告。

很多云计算大厂都提供相应的安全风险评估服务。

　　信息安全风险评估的基本过程主要分为：　　

1.风险评估准备过程　　

2.资产识别过程　　

3.威胁识别过程　　

4.脆弱性识别过程　　

5.风险分析过程　　信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。

风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。 　　风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。