2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）明确提出 ：要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的安全建设和管理。

    长城新华科技的咨询顾问综合采用问卷调查、访谈、扫描、取样分析、专家手工检查的方法，并利用通用或者专用系统、工具进行分析，参考ISO17799/ISO27001国际标准客户的安全管理现状进行全面审计分析，评估用户现有的安全管理措施和技术手段，并依据ISO 17799/ISO27001提出改进建议。即在风险评估过程中对下面11个安全管理领域进行全面的了解、调查和分析：

• ■安全策略（Security policy）；
• ■信息安全组织（Organization of information security）；
• ■资产管理（Asset management）；
• ■人力资源安全 （Human resource security）；
• ■物理和环境安全（Physical and environmental security）；
• ■通信和操作管理（Communication and operation management）；
• ■访问控制（Access control）；
• ■信息系统获取、开发和维护
    （Information systems acquisition, development and maintenance）；
• ■信息安全事件管理（Information security incident management）；
• ■业务连续性管理（Business continuity management）；
• ■符合性（Compliance）