定義

根據(jù)組織業(yè)務(wù)，對(duì)被評(píng)估單位系統(tǒng)及業(yè)務(wù)的 CIA(保密性、完整性和可用性)安全屬性進(jìn)行評(píng)價(jià)的過程，評(píng)估信息系統(tǒng)的資產(chǎn)和業(yè)務(wù)的重要程度、面臨的威脅以及脆弱性被威脅源利用的可能性。

目的

全面掌握被評(píng)估單位系統(tǒng)及業(yè)務(wù)的信息安全狀況，明確安全威脅和風(fēng)險(xiǎn)，減少信息系統(tǒng)的脆弱性同時(shí)為后期安全規(guī)劃建設(shè)提供原始依據(jù)。

價(jià)值收益

熟知單位業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)，抵御資產(chǎn)面臨威脅，減少資產(chǎn)脆弱性，降低安全事件的影響程度，防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平。