1.3.1 信息安全风险评估的定义

信息安全风险评估是风险评估理论和方法在信息系统中的运用，是从风险管理的角度出发，依据相关评估标准，运用科学评估手段，系统分析组织所面临的威胁及存在的脆弱性，评估风险事件一旦发生可能造成的危害程度，为防范和化解信息安全风险或者将风险控制在可以接受的水平，制定有针对性的抵御威胁的防护对策和整改措施，最大限度地保障网络和信息安全提供科学依据。

GB/T 25069—2010《信息安全技术 术语》定义信息安全风险评估是：风险识别、风险分析和风险评价的整个过程。GB/T 20984《信息安全技术 信息安全风险评估规范》（2018征求意见稿）（简称GB/T 20984）定义信息安全风险评估是：依据有关信息安全技术与管理标准，对业务和信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。信息安全风险评估要评估业务和资产面临的威胁，以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的业务和资产价值来判断安全事件一旦发生对组织造成的影响。 nlkBYawWQ3aX6pbkmPe1Xau59N7oxZBIvrpIS7KZ5mbpAGVzFAhKjH8IoROTnSPN