随着信息化建设在社会各个层面的推进，各类组织正逐渐将自己的核心业务向信息平台转移，组织对信息系统的依赖性越来越强。如何保证信息系统安全，或者从更广泛的意义来说，如何保证信息的安全，是组织需要着力解决的问题。

面对信息安全问题时，需要从组织的角度去评估需要保护什么及其需求的原因。信息安全风险评估正是识别信息风险的过程，是实施信息安全保障的基础过程，其结果是为组织提供制定信息安全建设规划、方案所需的安全问题、风险水平等。

天帷信息安全风险评估采用基于OCTAVE（Operationally Critical Treat,Asset,and Vulnerability Evaluation，可操作的关键威胁,资产和薄弱点评估）的方法，从组织关键信息资产角度出发，对信息从产生、处理、传输、存储、销毁全过程的机密性、完整性和可用性等属性进行科学的分析评价。

风险分析过程根据识别出的组织关键信息资产，对其具有的脆弱性、对组织的价值、与组织业务相关性以及组织面临的威胁进行综合计算，得到组织中存在的风险值。风险控制阶段根据分析得出的信息安全风险，考虑组织风险承受能力、控制措施成本、实施周期等因素选择合适的风险策略，分析残余风险，最终形成相应的风险管理措施，并实施该计划，达成组织风险控制目标。

在信息安全风险评估服务实施过程中会产生一系列文档，包括资产清单、威胁列表、分析报告、风险策略、控制方案、管理计划等。