安全评估服务的作用

信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

什么是风险分析

      风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险只能预防、避免、降低、转移和接受，但不可能完全被消灭。

      风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

什么是定性分析方法

      定性分析方法是目前采用的主流的一种风险评估方法，它带有较强主观性，需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、现有安全防护的效力等）的大小或者高低程序定性分级，例如“极高”，“高”，“中”，”低“，”极低“五极。

      定性分析的操作方法可以多种多样，包含头脑风暴、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，定性分析要求分析者具备一定的经验和能力。