什么是威胁评估

      威胁是指可能对资产或***造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。

      威胁评估采用的方法是问卷调查、问询、数据取样、日志分析。在这一过程中，首先要对***需要保护的每一项关键资产进行威胁识别。在威胁评估过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确认威胁的主体和客体。

选择风险评估服务商应该考虑哪几点

3、评估工具

合适的工具，具有效果好、速度快、操作简单的优势，可以大规模减少安全管理员的手工劳动，有利于保持风险分析算法的统一和风险评估报告的质量稳定。

4、服务质量管理

服务质量管理活动包括两个方面：项目实施过程、项目实施的交付成果。风险评估服务的过程文件和阶段性报告等，均通过严格的文档评审活动来完成质量把控。项目经理和服务质量监督员定期跟踪项目实施过程的各项任务的执行及其质量，检查和督促各项评审活动

的执行，及时发现项目工作中的问题，并通过内外部满意度评价来保证服务质量管理活动的闭环。

什么是定性分析方法

      定性分析方法是目前采用的主流的一种风险评估方法，它带有较强主观性，需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、现有安全防护的效力等）的大小或者高低程序定性分级，例如“极高”，“高”，“中”，”低“，”极低“五极。

      定性分析的操作方法可以多种多样，包含头脑风暴、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，定性分析要求分析者具备一定的经验和能力。