企業網絡安全存在風險什么時間評估

如果企業網絡安全已經存在風險那建議在每個季度找一個時間進行評估，根據《網絡安全法》規定，關鍵信息基礎設施運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估。而已經知道當前網絡環境已經存在風險那盡量還是每個季度進行一次評估，加強網絡安全，如果預算不夠也要保證半年進行一次評估。

風險評估涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產的屬性是資產價值（重要性）；威脅的屬性是威脅出現頻率；脆弱性的屬性是脆弱性的嚴重程度。風險評估的主要內容為：

• 對資產進行識別，并對資產的重要性進行賦值；

• 對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；

• 對資產的脆弱性進行識別，并對具體資產脆弱性的嚴重程度賦值；

• 根據威脅和脆弱性的識別結果判斷安全事件發生的可能性；

• 根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失；

• 根據安全事件發生的可能性以及安全事件的損失，計算安全事件一旦發生對組織的影響，即風險值。

回答所涉及的環境：聯想天逸510S、Windows 10。