‍‍

      信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作，可以发现信息安全存在的主要问题和矛盾，找到解决诸多关键问题的办法。只有在正确地、全面地理解风险后，才能在控制风险、减少风险、转移风险之间做出正确的判断，决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险。

      通过科学的运用信息安全风险评估方法，常态化的开展电子政务系统关键业务系统的安全性评估，从风险管理角度，运用科学的方法和手段，系统地分析电子政务信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。可以有效的防范和降低关键业务信息系统的信息安全风险，将风险控制在可接受的水平，从而最大限度地提升电子政务关键业务信息系统的安全保障能力。

适用范围：

      国家和地方政府部门、大型企事业单位。

政策依据：

        《中华人民共和国网络安全法》第十七条国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

        《国家电子政务工程建设项目管理暂行办法》（国家发改委令第55号）第三十一条要求“项目建设单位应在完成项目建设任务后的半年内，组织完成建设项目的信息安全风险评估和初步验收工作。”

评估标准：

      GB/T 20984-2007《信息安全技术信息安全风险评估规范》

      GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》

      GB/T 20918-2007《信息技术软件生存周期过程风险管理》

      GB/Z 24364-2009《信息安全技术信息安全风险管理指南》

      GB/T 31722-2015《信息技术安全技术信息安全风险管理》

      HS/T 28-2010《海关信息系统信息安全风险评估规范》

      JR/T 0058-2010《保险信息安全风险评估指标体系规范》

      MH/T 0040-2012《民用运输航空公司网络与信息系统风险评估规范》

      DB44/T 2010-2017《云计算平台信息安全风险评估指南》

      DB32/T 1439-2009《信息安全风险评估实施规范》

组织方式：

一般可由信息系统的主管部门或运营单位组织，委托第三方机构实施信息安全风险评估。

评价内容：

      主要内容包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容，并在风险评估之后根据安全建议进行安全加固。下图是风险评估实施的流程：

        对电子政务系统物理环境、网络、主机、应用以及安全管理等内容进行全面有效的评估，具体范围见下表：

结果利用：

    凡与互联的其它参与者有关的情况，应该依据牵涉范围，及时交换或公布风险评估结果，以便有关联的单位尽早采取应对措施。随着政务系统整合互联互通的发展，信息系统相互依赖性增加，信息安全的相互共同责任越来越大，因此，风险评估有关的信息交流共享是必须的，这是互联互通的参与者相互负责人的体现，也是搞好安全防范工作的重要前提之一，符合所有参与者的共同利益。

‍‍