2025年信息安全风险评估与治理手册.docx

2025年信息安全风险评估与治理手册

第1章信息安全风险评估基础

1.1信息安全风险评估的概念与目的

信息安全风险评估（InformationSecurityRiskAssessment,ISRA）是指通过系统化的方法，识别、分析和评估组织在信息处理、存储、传输等过程中可能面临的信息安全威胁与风险，以制定相应的风险应对策略，保障信息系统的安全性与业务连续性。信息安全风险评估的核心目的是实现风险的识别、量化、评估与应对，从而在成本与效益之间取得平衡，确保信息资产的安全性、完整性与可用性。

根据ISO/IEC27001标准，信息安全风险评估应遵循“识别-分析-评估-应对”