★ 什么是风险评估

风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的防护对策和整改措施，防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全。

★ 法律法规

《中华人民共和国网络安全法》

第十七条  国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

《中华人民共和国数据安全法》

第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

《关键信息基础设施安全保护条例》

第十七条　运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

★ 依据标准

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》

GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》

GB/T 33132-2016《信息安全技术 信息安全风险处理实施指南》

GB/T 31722-2015《信息技术 安全技术 信息安全风险管理》

……

★ 评估流程