信息安全风险管理范文精选

摘要：对信息安全风险管理中存在的问题做了具体分析，并提出了一些有效策略。

关键词：信息；安全；风险管理

引言

对于企业单位而言，信息资源是支撑工作正常运行的关键，囊括了企业的知识产权、重要数据、工作人员、信息处理设施等。信息安全风险管理成为企业单位的重要管理工作。但是目前我国企业单位的信息安全风险管理中存在着大量的问题，亟待解决，须采取有效的策略，才能保障企业单位的综合发展。

1信息安全风险管理中存在的问题

国内的企业单位在信息安全风险管理方面都存在着一定的技术引导性，缺乏必要的流程控制和制度保障。认为信息安全的建设只要有高科技的安全技术设备，就万无一失了。但事实并非如此，信息技术的发展虽然促进了信息安全风险问题的解决，但是没有严格有效的管理，依旧会产生风险问题。所以说只依赖于科学技术并不能从根本上解决所有的信息安全风险问题，只有技术和相应的流程有效配合才能完成企业单位的信息安全风险管理工作[1]。

1.1信息风险意识不强

企业单位对于信息安全风险的问题和影响缺乏认识，管理层的重视程度不够，通常只有在出现问题时，才会采取相应的策略，没有持续性。目前，我国许多企业单位的信息安全风险管理方面的财力和人力投入太小，严重忽视了相关资源的投入，原有风险和新风险逐渐积累，攒下了许多的风险隐患。还有部分企业单位过于注重信息系统的运行阶段，忽视了隐藏在系统开发和建设阶段的风险，在系统的稳定性和安全性方面留下严重的隐患。而且，企业单位对于信息安全风险的认识严重不足，没有切实意识到业务和客户数据的集中也会引发风险的集中，缺乏对于控制风险和分散风险的慎重考虑。

摘要：

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

【摘要】信息科学技术的发展，使得计算机技术与网络信息技术实现了进一步的融合发展，信息系统被广泛的运用到经营和管理工作中，越来越多的网络不安全事故也频繁发生，病毒、黑客、网络攻击已经成为影响当前信息系统安全的重要因素。本文的主要内容就是针对信息系统的安全问题进行探讨，如何进行系统安全的评估和风险的管理。

【关键词】信息系统；安全；风险评估；管理

一、信息系统安全

何谓信息系统，依据美国国家信息系统安全词汇表的定义，信息系统是指用于收集、处理、存储、传输、显示、传播和清除信息的所有设施、组织、人员等部件的总和。在这个定义中，我们不难看出，信息系统应该是一种结合了人力因素、硬件设备、软件系统等多方面元素的一种集合。信息系统的安全，主要就是围绕着信息系统的功能，即数据的处理、存储、传输等内容来展开。当前信息系统存在的安全隐患就是数据被篡改、被窃取、系统运行被破坏这几种情形。信息系统的安全以数据为核心，但是其内容又并不局限于数据，理论上信息系统的安全包括四个方面的内容，即实体安全、运行安全、数据安全和管理安全四个方面。这其中的每一个方面对信息系统的安全评价角度都是不同的，不同角度的安全评价决定了我们在对信息系统进行风险评估时所选取的方式和角度也必然是不同的。

二、信息系统风险评估方法

根据信息系统的构建和组成，我们对信息系统的风险评估主要采用以下几种方法：（1）事件树分析：这是一种利用逻辑进行演绎推理的方法，它的作用发挥方式是以某一个给定的事件为依据。根据这个事件展开分析，寻找出可能出现的各种具有影响力的后果，通过多角度、多层面的推理演绎，实习对风险的预估。（2）层次分析法：是一种多指标综合评价方法。这种评价方法的关键在于寻找不同因素直接存在的联系，这种联系可能表现为相互制约，也可能表现为一种形态上的隶属关系。无论是那一种关系，都需要按照一定的标准，采用数学方法对不同的因素进行层次上的排序。然后根据排序的结果来对风险进行预估。（3）BP神经网络：是一种按误差逆向传播算法训练的多层前馈网络，具有自学习能力，能够实现输入和输出之间的复杂非线性关信息系统的风险管理系。缺点是风险因素的权值确定较难，优点是有自学能力，问题抽象化，适用于事故预测和方案择优。（4）故障树分析：这是一种较为形象的风险预测方法，即首先对具有潜在危险的各种因素进行初始的分析，根据这些因素绘画出故障树，利用故障树来发现不同因素之间存在的复杂联系，找出事件发生之间的联系。（5）风险评审技术方法：通过模拟实际系统研制时间、费用及性能分布，针对不同条件对信息系统的风险进行预测，需多次访问，数据准确性要求高。

三、信息系统的风险管理

无论是对信息系统安全还是风险评估方法，我们的目的都是希望其最终能够服务于信息系统的风险管理工作。信息系统的风险管理，我们从以下几个方面来进行分析：第一，信息系统的动态风险态势评估。信息系统的风险管理，是一项动静结合的工作。由于当前网络环境是处于不断运动的状态，所以动态管理对信息系统的风险管理具有重要的意义。信息系统面临的风险虽然具有突发性，但是我们通过对某一段时间的态势值比较分析能够做出一定的判断，当一段时间内的态势值与正常范围内的态势值有差异的时候，我们应该加强系统信息的风险预警。通过这种动态的评估，管理人员能够在数据参考的基础上做出一些应对。第二，ART-BP神经网络的模糊专家系统风险管理。随着计算机技术和网络信息技术的进一步普及，信息系统在未来仍然会以规模化的趋势覆盖我们的日常生活，信息系统对人类生活产生的重要影响将越来越突出，风险管理的水平必须进一步提升和加强。ART-BP神经网络的基本工作原理是：网络接收外面环境的输入状况，对网络已经存储的模式和新来的网络样本进行比较和权衡，通过一定的程序对二者的相似度进行计算，利用阈值检查已有的网络存储模式和输入的样本，并且对连接权重进行调整，实现最大的相似度。第三，加强风险管理中的人力因素管理。信息系统是由人力、硬软件设备共同发挥作用而组成的一个管理系统。信息系统各种不安全因素的出现，最大的始作俑者也是人类，人力因素在整个信息系统的安全管理中有着重要的作用。信息系统的风险管理，必须加强对人力因素的控制和管理，人力因素在整个系统风险管理中作用的发挥的是首要的。加强人力因素的管理，首先我们要提高从业人员的素质，这种素质不仅仅是专业的信息技术素质，而且包括一个人的品行、工作态度等多方面素质的综合。其次加强那个人力因素管理，还应该通过制度来予以明确的规定，用明文的制度来规范具体的操作行为和操作流程，加强风险预警意识的培养，是实现风险管理的另一个重要途径。

摘要：随着计算机网络的技术的迅猛发展以及移动互联的全球化，Internet已经和现今的各行各业相互契合，而组织业务相关的信息系统已经成为组织行业信息赖以生存的“朋友”。移动互联的信息安全问题逐渐走入人们眼中。信息系统的安全问题是的对于一个组织有着重要的战略意义。本文立足于当今信息安全现状，例数当今信息系统的安全问题，对信息系统的安全风险管理方法进行研究，并针对信息系统安全问题给出针对性建议。

关键词：信息系统安全 信息系统管理 计算机尖端科技

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2016）11-0209-01

目前，世界各国经济都在迅速发展，经济全球化的进程逐渐加快，伴随着经济的推进，尖端科技迅猛发展。因此，电脑逐渐走进了各家各户，移动互联正在改变人们的生活方式。计算机网络技术的优越性使得人们对计算机网络愈来愈“信赖”。然而随之产生的便是用户的网络信息泄露事件。计算机网络安全问题已经受到了更多人的重视。所以，对信息系统安全风险管理方法的研究有着鲜明的现实意义。

1 信息系统安全风险管理方法研究

随着计算机网络技术的不突破何如普及，极大的方便着人们的生活和学习，而且正在慢慢的改变人们的生活方式。目前，计算机网络技术已经被应用到军事科技当中，中增强着我国国防力量。使得未来战争真正的实现“兵不血刃”。与此同时，信息系统的安全问题会“威胁”着国家的经济建设，和国防建设。所以这一切都表明了信息系统安全问题是一个国家安全建设的基础，是国家社会发展和建设的保障。而信息系统的安全成为了信息化革命的基本。甚至可以说，信息系统安全问题关系着国家安全，民族发展是全人民的的头等大事。信息系统安全计划建设是了一个国家和民族的战略性目标，已经是不争的事实。

2 信息系统的信息安全现状

当今社会信息系统安全问题不容乐观，信息系统面临着严峻的安全风险。根据调查来看，每年的重大信息系统安全事件正在逐年增加。信息系统安全问题主要包含以下两大方面：一是由于现今科技技术的不完善性和局限性，使得信息系统在构建之初便存在着漏洞，导致信息系统“脆弱”。二是现实社会中的各种经济斗争和利益斗争，使得原本的信息系统漏洞被“开发利用”。计算机网络技术是一个复杂的大系统，它是由众多的代码、硬件、软件、协议所共同组成。在计算机网络技术的不完善和设计人员思想局限性的前提下，使得信息安全系统在构建的时候会出现不可避免的漏洞。例如，计算机网络中一个操作系统需要几千几万的代码组成，甚至更多。为满足用户的各种需要，设计的技术复杂性逐渐增多。据调查在繁琐的计算机网络设计时，很可能一千行代码中便会存在一个错误。因此，信息系统的漏洞越来越多，越来越严重。另一方面，“黑客”作为一种“文化现象”一直伴随着计算机网络技术的发展而发展。并且随着人们之间的利益冲突不断加剧，使得黑客的恶意攻击事件愈演愈劣。此外，根据调查显示，在攻击技术复杂的计算机网络时，黑客相对应需要的知识却越来越少[1]。

摘 要：面对当前日益严峻的信息系统的信息安全需求，单靠技术手段是很难解决的，信息系统的信息安全问题更应从风险管理的角度来看待。遵照权威的信息安全相关标准，采用科学有效的方法进行全面的信息安全风险评估，依据风险评估结果对信息系统选择适当的安全措施，以妥善应对可能面对的威胁和可能发生的风险。

关键词：信息安全；风险评估；效用评估

对于保险企业来说，客户信息等同于“货币”。对于投保人而言，买保险本身就是为了规避风险，而如果因为保险公司信息不安全，造成投保人风险的扩大，势必会影响投保人的投保意愿，同时也将影响到保险公司的信誉和可靠度，这必将极大地制约保险公司的发展。因而研究保险行业信息安全风险管理有很强的理论意义和现实意义。

一、现状分析

目前保险行业信息安全风险管理主要存在以下问题：

（一）人员设备资金等投入不足

全行业特别是各保险公司的高层人员对新时期的保险信息安全的认识不充分，重视程度不高，很多保险公司缺乏完善的信息安全规划，对信息安全的投入严重不足，导致安全防护措施和应急灾难备份和恢复设施严重滞后于信息系统的开发建设，同时，人员投入不足，技术储备和信息安全事件研判能力十分有限。保险业信息安全的抗攻击、防渗透能力较弱，很难抵御有组织，有预谋的技术攻击。

（二）缺乏完善的系统机制

一、我国银行在信息安全风险管理中存在的问题

（一）识别风险的能力有待提高。改革开放之后，我国的经济和社会呈现飞速发展状态，尤其是近十年来银行业的信息化水平和自动化水平得到大幅度提升。但是伴随着新形势的到来，银行面临着越来越多的外部风险，电子商务的盛行和网络资讯的发达使得网络渠道的业务比例提升，银行的信息安全面临着严峻的外部风险挑战。这使得银行业本身乃至整个社会对财产和信息的安全指数要求越来越高，在内外部因素的影响下，银行业加强信息安全风险管理是必然和必要的。但是现阶段，银行业信息安全风险管理受人才、技术、体系乃至设备的制约，整体的风险识别水平还比较低，亟待提高。

（二）信息安全风险形式严峻。我国银行业面临的信息安全风险相较于其他行业来说比较严峻，银行系统的开放性和电子商务数量和规模的大幅度增长使得其受到攻击的可能性大幅度上升。银行在发展的过程中为了更大程度地满足客户的需求，往往对信息技术存在着严重的依赖，使得信息系统受到木马攻击、病毒侵害和钓鱼网站危害的可能性大大增加。

二、银行信息安全风险管理的建议

（一）银行要重视信息安全风险识别体系的构建。信息安全风险识别是一项系统的工程，银行要想及时、完整地识别出其在生产经营过程中的风险，就必须重视信息安全风险管理识别体系的建设，从起点上提升系统的整体安全系数标准。银行要定期对信息安全风险管理体系的可靠性进行评估，严格按照全面风险管理的原则对风险进行识别和应对。

（二）银行要建立重大信息安全风险预警和应急方案。重大信息安全风险预警和应急方案能使得银行的信息风险保持在可控的范围之内，在新的金融时期，完善的银行信息安全应急方案给金融系统的稳定上了一层重要的保险。完善的银行信息安全风险预警和应急方案是一种事前控制措施，是银行信息安全风险管理的重要举措。

（三）国家要加大银行信息安全犯罪的惩治力度。国家相关职能部门应该加大力度对信息安全犯罪进行打击。相关部门应该从根本上对这种犯罪进行严肃管理，将常规化管理落实下去，坚决杜绝形式化管理，一旦发现问题要给予严厉的惩罚。对于银行信息安全的重大犯罪要严惩不贷，对网络金融犯罪要高压打击。这样整个银行系统才会意识到信息安全风险管理的重要性，注重维护自身的信息安全。

（四）建立银行信息安全风险控制机制。首先，建立完善的风险责任机制。重点在于在银行信息安全风险控制体系要将各个环节各个部门的责任进行细化，做到每一个环节都有专门人员对重要事项进行负责，做到对风险负责、对安全负责。其次，建立完善的风险通报机制。通报包括对上级通报和对下级通报，对上级通报要客观真实准确，对下级通报要严肃认真，既不夸大也不隐瞒。最后，建立银行信息安全风险管理团队。人才是银行信息安全风险管理的关键，要充分发挥人才的作用，银行信息安全风险管理团队是银行信息安全风险管理的主力军，他们在银行信息安全风险的识别、评估、应对等过程中扮演着十分重要的角色。

摘 要

目前，我国商业银行种类繁多，所以商业银行在风险管理方面涉及的范围也很广泛。本文将从宏观角度研究探索，主要从我国商业银行的经营过程中信息安全风险分析，该安全风险包括技术和管理风险两类。文章将侧重讲述我国商业银行信息安全风险管理体系构架。

【关键词】商业银行 信息安全 风险管理 体系构架

在我国加入世贸组织后，在市场经济的影响下逐步形成一个与全球经济同步的开放整体，我国很多商业银行都开始设立国外分行，同时，国外银行也在不断开拓国内市场，这就表明，我国商业银行信息系统安全隐患也将由国内范围加深到世界范围。这时候，应该从分析了解我国商业银行信息系统特性着手，准备把握我国商业银行信息系统的安全风险信息，也可借鉴国外已经成熟了的银行信息系统安全管理体制，再根据本行的信息安全系统的特点，构建并完善我国商业银行信息系统安全风险管理体制，及时防范并有效降低我国商业银行信息的安全损害，确保我国商业银行的信息安全，已经成为我国金融机构热议的话题，必须引起银行以及监督管理机构的重视。

1 我国商业银行信息安全风险管理现状

1.1 信息安全与风险管理

广义上来说，信息安全是在特定社会背景下，国家为维护自身信息安全、低于国外信息威胁利用信息安全的通讯技术、网络IT技术的一种能力。从狭义上来讲，信息安全就是信息内容不被随意泄漏和改变，信息体统不受威胁与攻击。当前，风险管理已经在国际上越来越广泛地被运用，有效的风险管理不但可以削减企业经营风险，还能够在企业决策上提供一定的支持，保障企业的可持续发展。所以，风险管理有非常巨大的存在意义。风险管理是信息安全的基本观念。目前，普遍认为信息安全是识别信息系统风险，并能够采取相应措施不断完善信息系统的一个过程。

1.2 网络风险

一、引言

企业经营信息对于企业来说是一种资源，对于企业自身来说具有重要意义，企业需要妥善管理自身企业的信息。近年来，企业的各项经营活动都逐渐开始通过计算机，网络开展，因此，企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革，把更多的注意力放在企业内部的信息安全管理工作，同时将企业信息安全管理与风险控制结合起来，这是一个正确的选择，能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义，因此，本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容，简单来说是指企业通过各种手段来保护企业硬件和软件，保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息安全管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断普及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息安全管理，其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作，从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲，最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结，企业信息安全不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以，怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息安全风险，从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一，建立企业信息安全风险管理制度，明确企业信息安全管理的责任分配机制，明确企业各个部门对各自信息安全所应承担的责任，并建立相应的问责机制。第二，设置规范的企业信息安全风险管理指标，对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级，方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三，企业要加强对信息安全管理人员的培训，提高企业信息安全管理工作人员的风险意识，让企业内部从事信息安全管理工作人员认识到自身工作的重要性，让企业内部从事信息安全管理工作人员了解到规范自身行为，正确履行职责的重要性。第四，将企业信息安全管理与风险控制有效融合，重视企业信息安全管理工作，通过风险控制对企业内部信息安全的管理方式进行正确评估，找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说，企业信息安全管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上，对企业信息安全管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督，这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息安全管理的基础，但是，现实是许多企业的信息安全管理技术并不过关，一方面企业的信息安全管理硬件并不过关，在物理层面对企业信息缺乏保护，另一方面，企业信息安全管理工作的专业技术没有及时更新，一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验，企业信息安全管理的知识也并没有及时更新，从而导致企业的信息安全管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比较多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外，企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

摘要：本文分析了信息安全风险评估业务的工作流程，在此基础上设计了以安全知识库为支撑，以业务系统及其相关信息资产的信息安全风险评估要素为对象，以风险评估过程为主要业务流程的信息安全风险评估管理系统的模型。

关键词：信息安全；风险评估；系统设计

中图分类号：G647 文献标志码：A 文章编号：1674-9324（2016）23-0249-02

一、引言

信息时代为国家和个人提供了全新的发展机遇和生活空间，但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等，因此我们应按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析，以便采取安全措施，妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想，信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程，如何处理信息安全风险评估所产生的数据，是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。

二、风险评估过程

信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。

1.评估前准备。在风险评估实施前，需要对以下工作进行确定：确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。

【摘 要】随着互联网信息技术的不断发展，网络信息安全问题日渐突出。对网络信息存在的安全风险进行评价与管理控制已经成为当务之急。本文从网络信息风险评价现状及构成要素入手，探讨信息风险控制及管理对策，不断完善网络信息安全管理工作。

【关键词】网络信息；安全评价；风险控制；管理

伴随着信息化进程的不断加快，网络信息安全问题也凸显出来。对网络信息安全进行风险评价并采取相应措施进行控制是维护信息安全工作的迫切需要。目前网络信息风险评价存在一些问题，找出解决问题的对策并采取适当措施加强控制管理，确保做好网络信息的安全工作。

1网络信息安全风险评价的现状及构成要素

网络信息安全风险评价是保障信息安全控制管理工作的基础，简言之，就是利用科学的方式方法全面分析网络信息的脆弱性和潜在威胁，有针对性提出相应防御管理措施，保障网络信息的安全。到目前为止，国内还没有一套完整的对网络信息风险评价的详细标准，现有的评价体系和方法存在很多不足，有待于进一步改善。我国关于信息安全风险评价起步比较晚，处于初级探索时期。评价信息风险安全的方式有很多，主要考虑的要素有以下几个：

1.1威胁行为

不管是个人还是国家都存在着信息化风险安全隐患，信息风险主要有隐蔽性、复杂性、传染性、全球性四个特征，从风险评价角度来说，威胁行为可能导致企业或个人资产损失，甚至引起安全事故，损害利益。通过人工评价和漏洞模拟攻击等评价手段来了解网络信息安全环境，有利于对信息风险安全做好准确合理评价。

1.2脆弱性分析