依照信息系统风险管理的具体要求，信息安全建设的过程必须从物理、网络、系统、应用、管理等各个方面进行全方位的保护。安全风险评估服务通过专业的手段，发现组织或系统存在的问题或潜在安全隐患，提供安全整改建议，解决安全风险的服务。安全风险评估服务旨在帮助客户识别、控制、降低或消除信息安全风险，提升组织、系统整体安全水平，增强抵御安全风险的能力。

明确评估范围 在评估工作正式开始前，需要针对被评估的系统进行准确的范围确定，包含信息系统、管理体系，规章制度等方面的内容。       评估前培训 为保障评估质量及提高各管理维护人员对信息安全评估的理解，对主要管理维护人员进行评估前培训，包含信息系统安全建设的基础理论，信息安全评估的目的。       资产识别 依照安全评估目标，对信息系统相关的硬件、软件资产进行识别，区分资产的重要性，根据识别结果确定后续安全评估工作的具体开展方式。       业务流程调研 对业务流程进行梳理，了解各业务流中各个信息安全关键点，并根据此内容制定后续的评估重点，设计具体的评估技术手段。 脆弱性评估：通过架构评估、安全评估、安全核查、漏洞扫描、渗透测试等方法对信息系统进行评估，细致了解到目前信息系统存在安全风险的关键点，为后期进行风险分析做好基础工作。       风险分析 在风险评估工作结束后，对前期获取信息安全评估数据进行细致的分析，在分析过程中，依照资产、威胁、脆弱性三个要素，确定信息虚脱的具体风险点。     风险管理 进行信息系统风险评估的主要目的是为了更好的进行信息安全的风险管理，我们根据风险发生的可能性，对用户信息系统的具体网络情况、风险承受能力制定安全管理、组织体系、技术手段等安全建议与解决方案。具体包含：风险分类处理与建议，风险处理方式，制定安全解决方案等。

评估收益

◉ 识别支撑信息系统和关键活动的重要资产 ◉ 识别重要资产面临的外部威胁和自身存在的安全脆弱性（脆弱性） ◉ 对各类风险进行优先级排序，并确定可接受的风险水平 ◉ 为信息安全方针策略及操作规程等文件体系的框架建立和编写工作提供指引 ◉ 满足信息安全管理标准的要求 ◉ 使组织能够对信息安全风险的认识与观察具有“全局观、层次观、量化观” ◉ 为建立风险控制措施奠定基础