計算機安全評估的意義是什么

• 風險評估是信息系統安全的基礎性工作

信息安全中的風險評估是傳統的風險理論和方法在信息系統中的運用，是科學地分析和理解信息與信息系統在保密性、完整性、可用性等方面所面臨的風險，并在風險的減少、轉移和規避等風險控制方法之間做出決策的過程。

風險評估將導出信息系統的安全需求，因此，所有信息安全建設都應該以風險評估為起點。信息安全建設的最終目的是服務于信息化，恒其直接目的是為了控制安全風險。

只有在正確、全面地了解和理解安全風險后，才能決定如何處理安全風險，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設等尚題中做出合理的決策。

進一步，持續的風險評估工作可以成為檢查信息系統本身乃至信息系統擁有單位的績效的有力手段，風險評估的結果能夠供相關主管單位參考，并使主管單位通過行政手段對信息系統的立項、投資、運行產生影響，促進信息系統擁有單位加強信息安全建設。

• 風險評估是分級防護和突出重點原則的具體體現

信息安全建設的基本原則包括必須從實際出發，堅持分級防護、突出重點。

風險評估正是這一原則在實際工作中的具體體現。

從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風險總是客觀存在的。

安全是風險與成本的綜合平衡。

盲目追求安全和回避風險是不現實的，也不是分級防護原則所要求的。

要從實際出發，堅持分級防護、突出重點，就必須正確地評估風險，以便采取科學、客觀、經濟和有效的措施。

• 加強風險評估工作是當前信息安全工作的客觀需要和緊迫需求

由于信息技術的飛速發展，關系國計民生的關鍵信息基礎設施的規模越來越大，同時也極大地增加了系統的復染程度。

發達國家越來越重視信息安全風險評估工作，提倡風險評估制度化。他們提出，沒有有效的風險評估，便會導致信息安全需求與安全解決方案的嚴重脫離。因此，美國國家安全局強調“沒有任何事情比解決錯誤的問題和建立錯誤的系統更沒有效率的了。”這些發達國家近年來大力加強了以風險評估為核心的信息系統安全評估工作，并通過法規、標準手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。

在我國目前的國情下，為加強宏觀信息安全管理，促進信息安全保障體系建設，就必須加強風險評估工作，并逐步使風險評估工作朝向制度化的方向發展。

回答所涉及的環境：聯想天逸510S、Windows 10。