“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”在埋头走路之前，首先你要判断自己是否走对了方向，同样，要解决安全问题，就必须先了解安全的问题在哪儿。
欧美很多国家早已意识到了信息安全风险的重要性，近年来大力加强以风险评估为核心的IT系统安全评估，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行政、司法的完整信息安全管理体系。
而因为我国在关键技术、关键设备上还受制于人，现实更为严峻，对信息安全风险评估的需要也更强。风险评估不仅要明确风险和指引安全系统的方向，还要堵住可能存在的后门和漏洞，减少和规避可能出现的危险。
风险评估要做什么
如果把IT系统比作人的身体，则信息安全风险评估就是给人做体检。虽然这个比方并不能完全对应，但起码形象地告诉了我们，风险评估主要是要做什么。
早在2003年，国家信息化领导小组就在《关于开展信息安全风险评估工作的意见》中，明确了风险评估的定义。开展信息安全风险评估工作，就是从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息化业务和信息系统资产所面临的人为和自然的威胁，以及威胁时间一旦发生可能遭受的危害程度，有针对性地采取抵御威胁的安全等级防护对策和整改措施，最大限度地减少经济损失和负面影响。
还是拿“体检”作比方。在体检中，通过对身体各部位进行检查和研究，找出不健康的部位，并指出哪些部位有可能发展到不健康，有可能导致哪些疾病或症状。风险评估也是如此，它具体找出一个IT系统中哪些方面存在问题或潜在风险，有可能出现哪些问题，这些问题的严重程度如何，应该如何防护等等。
风险评估主要分为四个阶段：评估准备阶段，包括明确评估目标、确定范围、组建团队、初步调研、沟通协商方法方案等，是一个相当琐碎的过程，也是整个评估工作得以顺利实施的关键；要素识别阶段，识别风险中的资产、威胁和脆弱性，以及已有安全控制措施的有效性等；风险分析阶段，制定合理、清晰的风险等级判据，分析主要威胁场景，确定风险；汇报验收阶段，评估方与用户就报告进行沟通调整，完成最后评估项目的总结和验收。值得注意的是，实际项目中，双方对最终报告的磋商往往会超出预期范围，所以在最开始就要充分考量评估结果的验收形式和内容框架。有的用户要求评估时间短，风险只要提到即可，有的用户要求详细深入评估，不仅要提到风险，还需要进一步提出解决方案和安全策略，甚至要求评估方协助进行安全规划，所以一定要仔细沟通，力求精确，以免用户目标和评估目标有分歧而导致矛盾产生。