‍‍

      信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作，可以发现信息安全存在的主要问题和矛盾，找到解决诸多关键问题的办法。只有在正确地、全面地理解风险后，才能在控制风险、减少风险、转移风险之间做出正确的判断，决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险。

      通过科学的运用信息安全风险评估方法，常态化的开展电子政务系统关键业务系统的安全性评估，从风险管理角度，运用科学的方法和手段，系统地分析电子政务信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。可以有效的防范和降低关键业务信息系统的信息安全风险，将风险控制在可接受的水平，从而最大限度地提升电子政务关键业务信息系统的安全保障能力。

适用范围：

      国家发展改革委审批可行性研究报告的中央政府投资项目，主要范围包括：国家统一电子政务网络、国家基础信息资源库、国家网络与信息安全基础设施、重点业务信息系统、政府数据中心，以及电子政务相关支撑体系等政务信息化工程建设项目。同样适用于地方电子政务项目。

组织方式：

一般可由信息系统的主管部门或运营单位组织，委托第三方机构实施信息安全风险评估。

结果利用：

    凡与互联的其它参与者有关的情况，应该依据牵涉范围，及时交换或公布风险评估结果，以便有关联的单位尽早采取应对措施。随着政务系统整合互联互通的发展，信息系统相互依赖性增加，信息安全的相互共同责任越来越大，因此，风险评估有关的信息交流共享是必须的，这是互联互通的参与者相互负责人的体现，也是搞好安全防范工作的重要前提之一，符合所有参与者的共同利益。

政策依据：

《中华人民共和国网络安全法》第十七条国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》国办发〔2019〕57号 第二十五条“国家政务信息化项目建成后半年内，项目建设单位应当按照国家有关规定申请审批部门组织验收，提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告等材料。”

评估标准：

      GB/T 20984-2007《信息安全技术信息安全风险评估规范》

      GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》

      GB/T 20918-2007《信息技术软件生存周期过程风险管理》

      GB/Z 24364-2009《信息安全技术信息安全风险管理指南》

      GB/T 31722-2015《信息技术安全技术信息安全风险管理》

      HS/T 28-2010《海关信息系统信息安全风险评估规范》

      JR/T 0058-2010《保险信息安全风险评估指标体系规范》

      MH/T 0040-2012《民用运输航空公司网络与信息系统风险评估规范》

      DB44/T 2010-2017《云计算平台信息安全风险评估指南》

      DB32/T 1439-2009《信息安全风险评估实施规范》

‍‍

评价内容：

      主要内容包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容，并在风险评估之后根据安全建议进行安全加固。下图是风险评估实施的流程：

        对电子政务系统物理环境、网络、主机、应用以及安全管理等内容进行全面有效的评估，具体范围见下表：

海事主干网网络和安全管理服务

海事业务系统信息安全技术支持服务

海事系统信息安全专项服务

中央政法委政法部门网络设施共建和信息资源共享工程

西藏自治区投资项目在线审批监管平台

江淮汽车信息系统安全技术服务项目

重要信息系统安全风险评估服务

金电公司右安门本部机房基础设施及机房环境风险评估