隨著信息技術(shù)的迅猛發(fā)展和互聯(lián)網(wǎng)的普及，新時(shí)代下的信息安全風(fēng)險(xiǎn)評(píng)估已成為各個(gè)企業(yè)和組織亟待解決的問題。

　　信息安全風(fēng)險(xiǎn)評(píng)估，騰創(chuàng)實(shí)驗(yàn)室（廣州）有限公司（簡稱“騰創(chuàng)實(shí)驗(yàn)室”）依據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）、《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（國信辦[2006]5號(hào)）、GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》等標(biāo)準(zhǔn)規(guī)范，進(jìn)行信息系統(tǒng)安全保障能力級(jí)的符合性測評(píng)。風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

　　哪些情況，企業(yè)需要進(jìn)行風(fēng)險(xiǎn)評(píng)估？

　　1、內(nèi)部信息系統(tǒng)自測評(píng)需要

　　一般一些大型的信息系統(tǒng)，在接入網(wǎng)絡(luò)之前，都需要第三方提供入網(wǎng)安全測評(píng)報(bào)告，這樣可以作為信息系統(tǒng)正式上線前的測評(píng)，為系統(tǒng)是否可以正式開始進(jìn)行運(yùn)作提供參考依據(jù)。另外，當(dāng)大型系統(tǒng)進(jìn)行了功能升級(jí)或者系統(tǒng)變更時(shí)，也需要出具入網(wǎng)安全評(píng)估報(bào)告。一般來說，物流倉儲(chǔ)系統(tǒng)、電力系統(tǒng)、系統(tǒng)、行政系統(tǒng)等等大型信息系統(tǒng)，會(huì)通過公開招標(biāo)的方式來尋找合適的入網(wǎng)安評(píng)服務(wù)商。

　　2、第三方開發(fā)的信息系統(tǒng)驗(yàn)收時(shí)

　　客戶要求在驗(yàn)收時(shí)出具入網(wǎng)安全評(píng)估報(bào)告時(shí)，進(jìn)行入網(wǎng)安全測評(píng)后客戶才可以更放心的使用您為他開發(fā)的信息系統(tǒng)，特別是一些涉及公司或單位的敏感數(shù)據(jù)的系統(tǒng)，更是需要入網(wǎng)安全測評(píng)。否則，一旦出現(xiàn)安全事故，對(duì)業(yè)主交產(chǎn)生非常嚴(yán)重的影響。而對(duì)于技術(shù)提供商來說，如果沒有開展入網(wǎng)安全評(píng)估，信息系統(tǒng)安全問題帶來的問題，很難分清楚責(zé)任歸屬，而且很有可能會(huì)需要承擔(dān)一定的賠償責(zé)任。

　　3、信息系統(tǒng)或軟件作為產(chǎn)品推廣時(shí)

　　當(dāng)公司開發(fā)了具體一定通用性的信息系統(tǒng)或者軟件并規(guī)劃為產(chǎn)品進(jìn)行推廣銷售時(shí)，入網(wǎng)安全測評(píng)是非常重要的，入網(wǎng)安全測評(píng)報(bào)告是產(chǎn)品參數(shù)非常必要的一項(xiàng)。近幾年國家和網(wǎng)信辦對(duì)信息化產(chǎn)品的安全規(guī)范越來越嚴(yán)格，產(chǎn)品具備入網(wǎng)安全測評(píng)報(bào)告不但能滿足安全規(guī)范，同時(shí)也能大大提高客戶的信任度和產(chǎn)品的競爭力，有利于產(chǎn)品的推廣和銷售。

　　信息安全服務(wù)資質(zhì)是對(duì)信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)和能力，以及其穩(wěn)定性、可靠性進(jìn)行評(píng)估，并依據(jù)公開的標(biāo)準(zhǔn)和程序，對(duì)其安全服務(wù)保障能力進(jìn)行認(rèn)證的過程。

　　第1：資質(zhì)級(jí)別

　　信息安全服務(wù)資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)，其中一級(jí)，三級(jí)。資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。

　　第2：認(rèn)證類別

　　1.安全集成服務(wù)資質(zhì)

　　2.安全運(yùn)維服務(wù)資質(zhì)

　　3.風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)

　　4.應(yīng)急服務(wù)資質(zhì)

　　5.軟件安全開發(fā)服務(wù)資質(zhì)

　　6.信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)

　　7.工業(yè)控制安全服務(wù)資質(zhì)

　　8.網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證

　　信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。通過對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)�風(fēng)險(xiǎn)控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。