依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》，对业务关联的信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来风险的发生可能性进行评估，最终实现全面的风险管理。

广泛应用于各类组织，通过风险评估采用的人工核查、工具测试等手段，帮助组织充分识别面临的网络与信息安全风险。

通过风险评估，可以帮助组织识别网络与信息安全威胁和风险，明确采取何种有效措施，降低安全事件发生的可能性或者其所造成的影响，减少业务系统的脆弱性，从而将风险降低到可接受的水平。同时，全面掌握用户组织的安全防护水平，检验网络与信息安全规划建设的成效，为管理层加强网络与信息安全保护管理工作提供科学的决策依据。