引言

隨著政府部門、企事業單位以及各行各業對信息系統依賴程度的日益增強，信息安全問題受到普遍關注。運用風險評估去識別安全風險，解決信息安全問題得到了廣泛的認識和應用。

信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地保障信息安全提供科學依據。

信息安全風險評估作為信息安全保障工作的基礎性工作和重要環節，要貫穿于信息系統的規劃、設計、實施、運行維護以及廢棄各個階段，是信息安全等級保護制度建設的重要科學方法之一。

本標準條款中所指的“風險評估”，其含義均為“信息安全風險評估”。