依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。风险评估贯穿于信息系统生命周期的各阶段中。

信息安全风险评估围绕资产、威胁、脆弱性和安全措施展开工作，并充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等因素，综合对用户信息系统进行风险评估和威胁分析。

安全评估的重点包括但不限于以下内容：

1）资产识别：通过与开发方交流，并对系统网络拓扑结构分析，完成建设系统的资产评估，对资产进行编号，并对其重要性进行合理赋值；

2）威胁评估：通过访谈、查看文档、实地考察、访谈人事部门相关人员，对环境安全进行评估，对威胁进行识别，编号及威胁频率赋值；

3）脆弱性评估：通过漏洞扫描工具对系统的操作系统、主机、网络设备、数据的漏洞进行扫描统计，获得全网的安全统计等，完成脆弱性的识别、编号及脆弱性赋值。

4）信息安全风险评估报告：通过资产识别、威胁评估、脆弱性评估，完成《信息安全风险评估报告》。报告需包括计算风险值（形成资产风险柱状图或表格）及信息安全加固建议。