随着企业数字化转型的深入，各种网络安全风险的数量和复杂度也在快速提升。在此背景下，现代企业的安全管理团队需要及时转变防护思路，从传统安全事件发生后的被动响应模式，转变到提前开展网络安全风险评估，实现对未知安全威胁的主动预防。

风险评估的目标

网络安全风险评估是指从风险管理的角度，运用科学的手段，系统分析网络与信息系统所面临的威胁及其存在的脆弱性。通过开展风险评估工作，企业组织可以对重要信息系统所面临的信息安全风险进行发现识别和定性评估。同时根据评估结果，企业可以更有针对性地进行威胁管控和处置，对企业网络安全建设中的薄弱环节进行优先处理和加固。这样可以更有效的提升企业网络安全防护水平。

安全事件的发生是有概率的，不能只根据安全威胁的发现时间和可能后果，便决定网络安全的投入和安全措施的强度。对于一些被实际利用的概率极低的安全风险，即使其具有比较严重的爆发后果，也不需要不计代价地进行修复处置。企业在开展网络安全风险评估时，必须坚持综合考虑安全事件的后果影响及其可利用性的评价原则。

网络安全风险评估还需要组织确定关键业务目标，并识别对实现这些目标至关重要的信息资产，然后识别可能对这些资产带来不利影响的网络攻击，从而准确了解相关业务所面临的威胁环境。这可以让业务部门和安全团队共同做出最优化的处置决定，实施合理的安全控制措施，将整体风险隐患降低到企业能够接受的范围中。

风险评估的关键要素

开展网络安全风险评估涉及到资产、威胁、脆弱性等许多基础性要素，每个要素都有各自的要求和属性。为了保障风险评估工作取得预定的实际效果，企业应该在评估中做好以下方面的工作要素准备： 

要素1：确定评估范围

风险评估应先确定评估的范围。一般情况下，风险评估的范围需要覆盖整个组织，但这样会让评估工作过于繁重。因此，可以先从某些业务部门、场所或公司的特定领域开始实施，比如支付处理或Web应用程序。在风险评估工作开始前，需要尽可能全面地了解业务部门的需求和意见，这有助于了解各种网络资产和流程的重要性、风险隐患、评估影响以及对风险的承受程度。在进行风险评估之前，为了更好的指导组织有条不紊地评估信息安全风险，确保缓解控制措施适当且有效，评估人员还应当审视ISO/IEC 27001标准和NIST SP 800-37等主流安全框架。