所谓的信息安全风险评估就是和信息有关，并围绕整个信息系统，根据相应的信息的安全标准，对信息系统实施准备、保密和完整性的评估过程，从而进行更深入的分析和评价信息系统的脆弱性、信息系统面临的威胁和困难以及信息被威胁利用后所产生一些消极影响等，最终实现信息系统的安全性。

    风险评估作为世界最广泛的网络安全内容，包含了许多的国际标准和国内标准。例如：有通过安全管理实践来表明信息资产与安全风险之间关系的BS7799/ISO17799；有阐明以安全风险为主体，信息资产和价值以及威胁性、脆弱性之间关系ISO13335，虽然信息资产的拥有价值高，但也存在一定的脆弱性和漏洞，面临许多威胁，同时，也是产生安全风险的根本原因，因此，实施网络安全评估是十分必要的。

一、风险评估准备 ： 在评估前，需要准备齐全的环境信息包括：信息系统的实施和改变等。通过这些环境信息的更新，从而反映出相应的信息输出和做出相应的记录。同时，在记录过程中，又可以把信息资产进行分级和分类，为我们的日常管理节约了时间。

二、分析漏洞 ： 以安全、齐全、有效的分析手段，（包括策略评估、安全审计、工具和人工等四种手段）对记录的资产信息进行深入分析存在的脆弱性和漏洞，节约时间和成本。

三、对漏洞和威胁进行分析 ： 根据上一步骤总结出来的信息资产的漏洞和存在的风险再次进行深入分析。总结现状，对风险进行规划和分类，进行输出。本阶段是最为重要的阶段。

四、提出建议和策略  ： 本阶段也是实施方案的最后阶段，根据评估初的风险和漏洞，提出相应的建议，并做好相应的规划和措施，尤其是针对那些最严重和紧迫的风险，积极提出安全建议。