信息安全风险评估的目的是通过了解客户的业务情况，分析客户在组织、管理、技术、运维等各个方面的信息安全状况，找出其中的薄弱环节或重点关注环节，最终确定客户的安全需求。信息安全风险评估通常为客户的信息安全建设工作，如：安全体系建设，安全规划、安全加固等提供决策依据。
    戴威尔信息安全风险评估服务是一个针对多种类型客户，多种不同安全要求的全面的专业的安全服务包，该专业服务包涵盖多个服务项目，包括信息安全体系评估、网络安全评估、系统/平台安全评估、应用安全评估、渗透测试等，客户可以根据自身实际情况组合各种服务项目。这些服务项目可以从战略战术或操作多个层面评估目标对象，既包括安全扫描、安全测试等技术手段，也包括资产识别、风险分析等非技术手段，参照BS7799、ISO13335、OCTAV、SP800等业界标准或最佳实践，结合戴威尔专业人员丰富的实践经验，使客户能对自己的组织管理、网络系统安全现状有一个全面充分的了解，帮助客户明确信息安全建设工作的目标。
    戴威尔典型的信息安全风险评估服务包括以下几个环节:   
    
·  资产识别
    对组织信息资产进行识别与归类，并依据资产的实际价值与安全特性（机密性、完整性、可用性）确定资产的价值，形成资产清单。
·  脆弱性与威胁分析
    通过技术或非技术手段分析组织信息资产可能存在的弱点，并评价弱点的重要程度，然后分析外部威胁利用这些弱点的可能性。
·  潜在风险分析
    根据业界相关标准或最佳实践，结合专业人员的经验分析评价信息资产可能面临的风险。
·  当前安全机制分析
    分析组织目前已经或打算采取的用于控制风险的技术和管理措施，评价其有效性。
·  剩余风险分析
    依据前面分析得出的潜在风险与当前安全机制控制情况，分析评价信息资产面临的剩余风险。    
1.信息安全体系评估   
    本服务参照BS7799，着重从战略战术层面分析、评价组织现有安全策略、制度与流程的合理性、有效性，目的是明确组织安全体系需求，为组织建立合理有效的信息安全体系提供依据。信息安全体系评估的内容包括： 
·  组织和人员安全
·  信息分类、分级与保护 
·  第三方与外包的安全管理 
·  信息安全风险管理 
·  物理及环境的安全管理 
·  网络及通信安全 
·  主机及系统的安全 
·  终端管理 
·  应用系统开发及支持 
·  操作与维护 
·  项目与工程安全控制 
·  业务持续性管理 
·  符合性管理    
2.网络安全评估   
    本服务主要通过分析与评价客户的网络设计、网络安全功能以及网络与系统管理的安全状况，确定网络平台所存在的弱点或面临的风险，提供相应的整改建议，最终增强网络设备的安全性，提高组织网络的可用性。评估内容包括： 
·  安全域划分 
·  网络资源分配 
·  网络及系统可用性设计 
·  网络管理系统建设 
·  物理安全 
·  外部边界防护 
·  内部边界防护 
·  远程连接安全 
·  网络访问控制 
·  网络配置 
·  网络设备管理认证及授权 
·  补丁管理等    
3.系统/平台安全评估   
    本服务评估操作系统/平台管理与配置安全，确定其存在的弱点或风险，提供相应的整改建议，最终提高目标对象的安全性。评估内容包括： 
·  帐户安全 
·  文件安全 
·  系统/平台访问控制 
·  系统/平台安全配置（如服务，端口管理等） 
·  补丁管理 
·  恶意代码防护 
·  技术应急方案及措施 
·  备份 
·  日志与审计    
4.应用安全评估   
    本服务评估应用系统设计与实现安全，确定其存在的弱点或风险，提供相应的整改建议，最终提高目标对象的安全性，评估内容包括： 
·  身份鉴别 
·  访问控制 
·  交易的安全性 
·  数据的安全性 
·  输入输出合法性 
·  异常处理 
·  日志与审计等。    
5.数据库安全评估   
    本服务评估数据库系统管理与配置安全，确定其存在的弱点或风险，提供相应的整改建议，最终提高目标对象的安全性，评估内容包括： 
·  数据库账号/密码策略 
·  存储过程 
·  服务端口/ip控制 
·  补丁 
·  日志等    
6.渗透测试   
    本服务模拟黑客行为，利用组织在物理、网络、系统、应用及管理上的漏洞从组织内部或外部对目标系统进行渗透性攻击测试，以检验组织信息系统的安全性。 渗透测试服务步骤包括： 
·  测试准备 
·  目标对象信息收集 
·  目标对象信息分析 
·  实施攻击测试 
·  分析、总结、形成报告