風險評估有時候也稱為風險分析，是組織使用適當?shù)娘L險評估工具，依據(jù)國內(nèi)外有關信息安全相關標準，對信息和信息處理設施的威脅(Threat)、影響(Impact)和薄弱點(Vulnerability)及其發(fā)生的可能性的評估，包括信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程，從信息資產(chǎn)、信息系統(tǒng)、業(yè)務流程等多個維度，評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。風險評估是信息安全管理的基礎，它為安全管理的后續(xù)工作提供方向和依據(jù)，后續(xù)工作的優(yōu)先等級和關注程度都是由信息安全風險決定的，而且安全控制的效果也必須通過對剩余風險的評估來衡量。

▽風險評估服務可幫助企業(yè)或組織了解自身網(wǎng)絡信息系統(tǒng)的安全狀況；

▽通過資產(chǎn)重要性分析明確需要重點保護的資產(chǎn)信息；

▽通過系統(tǒng)弱點分析、威脅分析、安全措施的有效性分析確定各項資產(chǎn)所面臨的真實安全威脅問題；

▽由于風險評估的流程復雜、技術難度大、歷時久、周期長等問題，嚴重困擾著行業(yè)企業(yè)或組織風險評估工作的實施；

▽計劃和準備（組織在正式進行風險評估之前，應該制定一個有效的風險評估計劃，明確風險評估的目標，限定評估的范圍，建立相關的組織結構并委派責任，并采取有效措施來采集風險評估所需的信息和數(shù)據(jù)）

▽風險評估行動計劃

▽人員訪談

▽調(diào)查問卷

▽文件審核

▽以前的審計和評估結果

▽對外部案例和場景的分析

▽現(xiàn)場勘查（通過以上服務過程采集的信息，可以供風險評估各個階段的活動分析使用，包括資產(chǎn)識別與評價、威脅評估、弱點評估等）