说起网站风险评估，小编不得不先说下风险评估是什么？风险评估的范围比网站风险评估的范围要更宽泛一些，适用范围更大，且涉及面也更广，但整体的目标是一致的，通过各种管理、技术手段等来评估目标评估系统的存在的脆弱点，对其现有的安全管控技术措施的有效性进行评估。

评估的目的：

提高评估单位的信息安全技术能力与安全防护能力，促进被评估单位安全技术管理水平的提高，增强被评估系统业务安全稳定运行。

评估依据：

风险评估国家标准和规范：

GB/T 20274-2006 《信息系统安全保障评估框架》

GB/T 20984-2007 《信息安全风险评估规范》

GB/T 9361 计算站场地安全要求

GB 17859-1999 计算机信息系统安全保护等级划分准则

GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(idt ISO/IEC 15408： 1999)

GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799：2000，MOD)

评估流程

在风险评估实施过程中，资产识别通过现场或远程沟通等方式获取；威胁识别技术检测验证为主，对威胁要素赋值；脆弱性识别以技术检测为主；综合分析上述各类要素，综合评定对业务系统信息安全的影响程度，形成最终的风险评估报告。

风险评估的实施流程如下图所示：

图片来源悬镜安全风险评估解决方案

客户资产识别

这个具体要根据客户的情况来定，比如说网络架构、IDC机房、应用系统，以及所使用的安全产品。

脆弱性

对目标系统威胁来源主要有四个方面，一个是自然威胁，一个是内部的人为威胁及外部的病毒和恶意代码的威胁，这个还需要动用管理和技术等手段的方式来进行验证。