信息安全风险评估是一个组织机构实现信息系统安全必要的步骤，可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。

　　通过信息安全风险评估，他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点；哪些威胁出现的可能性较大，造成的影响也较大，提出的安全方案需要多少技术和费用的支持；更进一步，还会分析出信息系统的风险是如何随时间变化的，将来应如何面对这些风险。