《网络安全法》于2017年6月1日正式生效,其中第十七条和二十九条规定国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。《网络安全法》中多次提到风险评估,这充分体现了风险评估在网络安全工作中的重要性。
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据。