信息安全评估通用准则的意义和作用？举例说明？

　　信息安全风险评估很多时候是用来了解信息系统目前当前的网络安全防御能力和判断是否存在一些已知的安全隐患。对于企业规避网络安全风险和信息泄露风险有很大的帮助。

　　风险评估是为了查找并发现信息系统、IT环境、工作流程中存在的安全风险并进行修补，消除安全隐患，其实际意义包括：

　　1) 通过资产发现、脆弱点扫描等技术手段，对现有应用系统、网络、主机及工作环境进行全面的扫描发现和统计现有资产信息(包括设备、流程、制度等)，从资产管理角度发现僵尸设备，从系统安全性角度发现隐藏的安全漏洞，了解系统的脆弱性;

　　根据资产发现的结果进行精准风险扫描，可针对特定漏洞实时进行全面排查，形成风险评估表，计算风险的严重性并加以改进和加固。经过上述一系列系统信息安全建设，能够在很大程度上提高信息系统的系统安全性和业务连续性。

　　2) 通过安全评估和脆弱性分析，制定适合企业客观条件、实际业务的安全策略、制度和目标;

　　通过安全风险评估，掌握信息系统的安全现状，提出安全解决建议;结合企业客观现状和业务需求，制定有针对性的安全策略和短期、长期可落地的信息安全目标;协助进行企业信息安全体系制度的建设与落地;提出有实际意义的信息安全体系建设方针;将安全评估的结果作为下一阶段工作的数据基础;完成安全加固工作;网络架构、主机安全、中间件及数据库安全、WEB安全和安全管理是安全评估的重点。

　　企业在做信息安全风险评估的时候，需要注意这些内容

　　1、风险评估不应局限于信息化系统和网络

　　风险评估所囊括的范围，应该包括企业运营所涉及到的全部单元，不仅仅是网络环境、信息系统，还应包括各类信息化设备、流程、制度及人员。

　　2、风险评估，不是为了评估而评估

　　风险评估，是为了不断提高企业的信息和网络安全水平和成熟度，从而变被动防御为主动出击。

　　3、注重人员安全意识的培养

　　世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。企业，是由人组成的，因此提高人员的安全意识尤为重要。

　　专职安全技术人员要有主动出击、提前防范的意识

　　管理人员要有及时补救、亡羊补牢的意识

　　普通员工要有不越雷池、不触红线的意识

　　企业领导要有关心信息、重视安全的意识