任何事情都存在風險，信息系統亦然如此。如果不了解自身信息系統狀況，倘若其存在安全風險不加以控制或解決，企業的網絡安全就無法得到保證，系統內存儲的各種信息也得不到基本保障。

簡單來說，信息系統風險評估是用來了解信息系統目前的網絡安全防御能力，以及判斷是否存在安全隱患，并提前采取辦法防范。風險評估對于企業規避網絡安全風險有很大的幫助，其中包含了多種安全檢測手段。

[[428422]]

那么，信息系統到底在什么階段適合做風險評估?

答案是：信息系統在其生命周期的各階段都需要進行風險評估。一個系統從設計到開發，再到正式投入使用，都應該將網絡安全問題考慮在內。危險是不可預測的，但可以提前預防，然而預防的最佳方式則是進行全面檢查，查漏補缺。

開展風險評估工作是為了更好地查找并發現信息系統或IT資產中存在的安全風險并進行修復，消除安全隱患，避免安全事件的發生。

• 風險評估不僅關乎信息系統，還應針對企業人員、企業網絡安全管理相關制度以及設備設施等;

• 風險評估不應為了評估而評估。網絡安全是一項長久的工作，不應該為了應付安全檢查或被迫整改而做，保持時刻有網絡安全建設的意識，開展風險評估工作是為了不斷提高企業的網絡安全水平和網絡安全程度。

既然每個階段都需要進行風險評估，如何解決預算缺失的問題?

信息系統生命周期每階段的評估頻率分為日、周、月、季度和年，沒有人能確定風險評估進行的頻率和次數為多少算好，當然高頻率相較低頻率會更好一些，因為安全風險總是出其不意。對于預算不足的企業，建議在系統上線前、每季度或每半年對IT資產進行風險評估，及時檢查安全隱患;而對于大型企業/單位，存有重要信息及數據的，應注重評估頻率，加強安全防御水平。

網絡安全建設工作可大可小，企業應根據自身需求和預算來投入，風險評估不能盲目隨從，看到別的企業加大力度投入也跟風前行，合適自己的網絡安全建設方案才是最好的。