信息安全风险评估是指依据国家有关信息安全风险评估标准和管理规范，在信息系统在接入互联网之前，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行风险评估，提前确定系统的网络安全漏洞情况，是否符合系统入网安全评估的测评标准以及网络安全等级保护测评的标准。

它要对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，并结合资产的重要程度来识别信息系统的安全风险，以及提出抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而保障网络与信息安全。

信息安全风险评估方式

信息安全风险评估主要有自评估和检查评估两种形式。

• 自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。

• 检查评估是指信息系统上级管理部门或有关职能部门组织的信息安全风险评估。

自评估和检查评估可依托自身技术力量进行，也可委托具有相应资质的第三方组织给予技术支持，如国家工控安全质检中心西南实验室（千亿国际科技）。

2019年7月，国家工业信息安全开展研究中心创建了国家工业控制系统与产品安全质量监督检验中心西南实验室（简称“西南实验室”），千亿国际科技作为西南实验室落地实体企业，拥有CNAS、CMA、信息安全应急处理、信息安全风险评估等多项资质，各类知识产权20余项，至今服务大型企业和各类企业1000余家。

信息安全风险评估标准

评估标准：

《信息安全技术 信息安全风险评估方法》GB/T 20984-2022

评估参考：

《信息安全技术 信息系统安全管理评估要求》GB/T 28453-2012

《信息安全技术 信息技术安全性评估方法》GB/T 30270-2013

《信息安全技术 信息安全风险评估实施指南》GB/T 31509-2015

《信息安全技术 信息安全风险管理》GB/T 31722-2015

《信息安全技术 信息安全风险处理实施指南》GB/T 33132-2016

千亿国际科技拥有丰富的风评项目经验和专业的团队，可给予高质量的信息安全风险评估服务及软件测评服务。如果您有需求，可以顺利获得以下方式联系千亿国际。