针对信息安全策略层面、信息安全管理层面、组织结构和管理制度层面和信息安全技术四个方面提供全面的风险评估过程，识别、分析和处置相关信息安全风险，形成综合性信息安全风险管理框架。

一、信息安全风险评估方法

通过完整的信息安全风险评估可以更加深入的了解客户方信息安全管理现状，企业业务运营的特定环境中存在的信息安全隐患，以及帮助客户形成信息安全风险库及评估模板，建立有效的风险管理工具，形成未来动态的、可持续改进的信息安全风险管理机制，进而帮助客户实现信息安全目标。通过对潜在信息安全风险进行量化分析和描述，以数字化的形式展现风险的影响范围和发生的可能性，进而帮助客户确定信息安全管理建设的详细需求和风险处置的投资成本收益。

二、实施要点：

强调特定业务环境中的风险来源和识别。润星的信息安全风险评估方法在识别业务流程和信息资产的基础上，创新的加入了对业务环境和风险源的识别，从而使特定业务环境成为立体的、可见的风险控制模块，同时在此基础上，通过识别业务流程和信息资产的风险来源，从而精准定位信息安全风险发生的可能性与影响程度，最终为客户呈现一幅完整且准确的风险处置菜单。

量化分析和评价信息科技风险。润星的信息安全风险评估采用模糊理论和概率论方法，将定性的风险评估与定量的方法相结合，最终呈现给客户一套数字化的风险评估结论，支撑客户做出科学的风险处置决策。

区分风险优先级，保障处置成本收益最大。润星的信息安全风险评估方法中的影响范围识别，可以清晰地呈现所识别的信息安全风险对于企业业务网络的影响区间和作用深度。

三、风险评估实施流程

根据信息安全风险评估结果，结合企业特有的风险承受偏好，润星将会为客户实施信息安全管理机制优化。