信息安全風險評估是加強信息安全保障體系建設和管理的關鍵環節。通過開展信息安全風險評估工作，可以發現信息安全存在的主要問題和矛盾，找到解決諸多關鍵問題的辦法。只有在正確地、全面地理解風險后，才能在控制風險、減少風險、轉移風險之間做出正確的判斷，決定調動多少資源、以什么代價、采取什么樣的應對措施去化解、控制風險。

      通過科學的運用信息安全風險評估方法，常態化的開展電子政務系統關鍵業務系統的安全性評估，從風險管理角度，運用科學的方法和手段，系統地分析電子政務信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。可以有效的防范和降低關鍵業務信息系統的信息安全風險，將風險控制在可接受的水平，從而最大限度地提升電子政務關鍵業務信息系統的安全保障能力。

適用范圍：

      國家和地方政府部門、大型企事業單位。

政策依據：

        《中華人民共和國網絡安全法》第十七條國家推進網絡安全社會化服務體系建設，鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務。

        《國家電子政務工程建設項目管理暫行辦法》（國家發改委令第55號）第三十一條要求“項目建設單位應在完成項目建設任務后的半年內，組織完成建設項目的信息安全風險評估和初步驗收工作。”

評估標準：

      GB/T 20984-2007《信息安全技術信息安全風險評估規范》

      GB/T 31509-2015《信息安全技術信息安全風險評估實施指南》

      GB/T 20918-2007《信息技術軟件生存周期過程風險管理》

      GB/Z 24364-2009《信息安全技術信息安全風險管理指南》

      GB/T 31722-2015《信息技術安全技術信息安全風險管理》

      HS/T 28-2010《海關信息系統信息安全風險評估規范》

      JR/T 0058-2010《保險信息安全風險評估指標體系規范》

      MH/T 0040-2012《民用運輸航空公司網絡與信息系統風險評估規范》

      DB44/T 2010-2017《云計算平臺信息安全風險評估指南》

      DB32/T 1439-2009《信息安全風險評估實施規范》

組織方式：

一般可由信息系統的主管部門或運營單位組織，委托第三方機構實施信息安全風險評估。

評價內容：

      主要內容包括：資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議等評估內容，并在風險評估之后根據安全建議進行安全加固。下圖是風險評估實施的流程：

        對電子政務系統物理環境、網絡、主機、應用以及安全管理等內容進行全面有效的評估，具體范圍見下表：

結果利用：

    凡與互聯的其它參與者有關的情況，應該依據牽涉范圍，及時交換或公布風險評估結果，以便有關聯的單位盡早采取應對措施。隨著政務系統整合互聯互通的發展，信息系統相互依賴性增加，信息安全的相互共同責任越來越大，因此，風險評估有關的信息交流共享是必須的，這是互聯互通的參與者相互負責人的體現，也是搞好安全防范工作的重要前提之一，符合所有參與者的共同利益。

11.燈具實驗室

12.信息與網絡安全實驗室等等