信息安全风险评估是从管理的角度，运用科学的方法和手段，系统地识别网络与信息系统的资产价值，以及所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。圣博润将按照《信息安全风险评估规范》（GB/T20984-2007）等要求，为客户单位实施全面的风险评估服务，掌握组织面临的安全风险，为下一步开展安全体系建设提供依据，为确立安全策略和制定安全规划提供决策建议。

资产识别将涉及到评估范围内所有有价值的资产，因为被评估单位信息系统内的信息资产数量较多、栏目繁多，为了更好的对被评估单位资产价值进行分析，圣博润将对资产进行尽可能详细的分类，从而有序的对评估资产进行组织。

在威胁调研中主要采用调查问卷的方式实现，将得到的被评估单位所面临威胁的描述，依据圣博润经验和通用威胁参考标准进行赋值和等级划分，最终得到被评估单位所面临的威胁值。

圣博润采用问卷调查、工具检测、人工核查、文档查阅、漏洞扫描、渗透性测试等方法，从技术和管理两个方面进行识别，技术脆弱性涉及物理、网络、系统、应用等各个层面的安全弱点。管理脆弱性主要涉及到信息组织结构、人员、制度、审批流程等事项进行脆弱性识别。

圣博润针对已识别的脆弱性确认已采取的安全措施，包括预防性安全措施和保护性安全措施，并进行记录。

圣博润在完成资产分析、威胁可能性分析和脆弱性分析后，结合风险管理技术的思想，制定合理的风险计算方法，将对整体安全风险进行量化。为了得到跟系统实际情况更加符合的风险值，圣博润采用科学计算模型对以上得到的值进行数学拟合，结合圣博润多年来在信息安全体系建设中的经验和对信息安全的全面理解，综合安全威胁所涉及的资产价值及脆弱性严重程度，判断安全事件造成的损失对组织的影响，得到最终风险值。

根据估计的风险与给定的风险准则进行比较，得到确定的风险严重性。

信息安全风险和事件不可能完全避免，关键在于如何控制、化解和规避。不计成本地追求零风险或试图完全消灭风险、避免风险也是不可行的。通过开展信息安全风险评估工作，可以发现信息安全存在的主要问题和矛盾，找到解决问题的办法，寻求一个最佳的平衡点，去化解风险，及早防范。