信息安全风险评估（简称“风险评估”）是指依据国家有关信息安全标准，对信息系统及由其处理、传输和存储的信息的安全属性（保密性、完整性和可用性等）进行科学评价的过程。它要评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。