第一步：评估准备与范围界定

输入物：评估目标、系统清单、网络拓扑。操作方法：明确评估范围和目标，组建团队制定评估计划和方法论。输出物：《风险评估实施方案》+范围界定书。

第二步：资产识别与价值赋值

输入物：系统清单、资产台账、业务流程文档。操作方法：全面梳理信息资产建立清单，对每项资产从保密性、完整性、可用性赋值。输出物：《信息资产清单》+《资产价值评估表》。

第三步：威胁识别与脆弱性评估

输入物：资产清单、历史安全事件、系统配置。操作方法：识别威胁来源和攻击路径，通过技术手段和管理审查评估脆弱性。输出物：《威胁清单》+《脆弱性评估报告》。

第四步：风险计算与分析

输入物：资产价值表、威胁清单、脆弱性报告。操作方法：采用风险矩阵法和因素分析法计算风险值，确定风险等级，多维度交叉验证。输出物：《风险分析计算表》+风险等级分布图。

第五步：处置策略与报告交付

输入物：风险分析结果、客户安全预算。操作方法：针对每项风险制定处置策略，按优先级排序制定计划向管理层汇报。输出物：《信息安全风险评估报告》+《风险处置计划》。

新系统上线前安全评估

新建系统或重大变更前进行风险评估，确保安全设计从源头抓起，制定针对性防护措施。

合规审计与ISMS认证

满足等保2.0、ISO 27001等标准对风险评估的强制性要求，为安全管理体系建设和认证提供基础。

企业并购投资安全尽调

并购或投资前评估目标公司信息安全风险状况，识别潜在风险点和合规问题降低投资风险。

风险评估和渗透测试的区别？

风险评估是系统分析资产、威胁、脆弱性和风险等级的方法论，涵盖技术和管理层面。渗透测试仅是脆弱性评估的技术手段之一。

风险评估项目周期？

一般2-4周，取决于资产规模和复杂度。大型系统可适当延长。

风险评估后需要做什么？

根据报告制定风险处置计划优先处理高风险项，建立持续监控定期复评，形成PDCA闭环。

哪些标准要求风险评估？

GB/T 20984-2022、GB/T 22239-2019等保2.0、ISO/IEC 27001等均要求定期开展风险评估。