风险评估是利用系统工程原理和方法对拟建或已有工程、 系统可能存在的危险性及其可能产生的后果进行综合评价和预测, 并根据可能导致的事故风险的大小,提出相应的安全对策措施, 以达到工程、系统安全的过程。
1、风险评估不仅关乎信息系统,还应针对企业人员、 企业网络安全管理相关制度以及设备设施等;
2、风险评估不应为了评估而评估,网络安全是一项长久的工作, 不应该为了应付安全检查而去进行网络安全, 应时刻保持网络安全建设的意识, 开展风险评估工作是为了不断提高企业的网络安全水平和网络安全程度。
1、通过资产发现、脆弱点扫描等技术手段,对现有应用系统、网络、 主机及工作环境进行全面的扫描发现和统计现有资产信息 (包括设备、流程、制度等),从资产管理角度发现僵尸设备, 从系统安全性角度发现隐藏的安全漏洞,了解系统的脆弱性。
2、通过安全评估和脆弱性分析,制定适合企业客观条件、 实际业务的安全策略、制度和目标。