所謂的信息安全風險評估就是和信息有關，并圍繞整個信息系統(tǒng)，根據(jù)相應的信息的安全標準，對信息系統(tǒng)實施準備、保密和完整性的評估過程，從而進行更深入的分析和評價信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅和困難以及信息被威脅利用后所產生一些消極影響等，最終實現(xiàn)信息系統(tǒng)的安全性。

    風險評估作為世界最廣泛的網(wǎng)絡安全內容，包含了許多的國際標準和國內標準。例如：有通過安全管理實踐來表明信息資產與安全風險之間關系的BS7799/ISO17799；有闡明以安全風險為主體，信息資產和價值以及威脅性、脆弱性之間關系ISO13335，雖然信息資產的擁有價值高，但也存在一定的脆弱性和漏洞，面臨許多威脅，同時，也是產生安全風險的根本原因，因此，實施網(wǎng)絡安全評估是十分必要的。

一、風險評估準備 ： 在評估前，需要準備齊全的環(huán)境信息包括：信息系統(tǒng)的實施和改變等。通過這些環(huán)境信息的更新，從而反映出相應的信息輸出和做出相應的記錄。同時，在記錄過程中，又可以把信息資產進行分級和分類，為我們的日常管理節(jié)約了時間。

二、分析漏洞 ： 以安全、齊全、有效的分析手段，（包括策略評估、安全審計、工具和人工等四種手段）對記錄的資產信息進行深入分析存在的脆弱性和漏洞，節(jié)約時間和成本。

三、對漏洞和威脅進行分析 ： 根據(jù)上一步驟總結出來的信息資產的漏洞和存在的風險再次進行深入分析?？偨Y現(xiàn)狀，對風險進行規(guī)劃和分類，進行輸出。本階段是最為重要的階段。

四、提出建議和策略  ： 本階段也是實施方案的最后階段，根據(jù)評估初的風險和漏洞，提出相應的建議，并做好相應的規(guī)劃和措施，尤其是針對那些最嚴重和緊迫的風險，積極提出安全建議。