安全评估主要依据《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》中规定的评估流程开展评估准备、风险识别、风险分析、风险评价等工作，对被测对象从组织管理、业务及技术风险评估、投产及变更控制、系统安全性、日志管理、客户信息保护、外包管理等方面进行安全风险评估并针对系统存在的安全风险给出专业的整改建议。

安全风险评估过程中同步开展系统渗透测试，即通过情报信息收集、威胁建模与攻击规划、漏洞分析与利用、后渗透攻击、渗透复盘，查找应用系统在失效的访问控制、加密机制失效、注入、不安全设计、安全配置错误、自带缺陷和过时组件、身份识别和身份验证错误、软件和数据完整性故障、安全日志和监控故障、服务端请求伪造等方面的安全缺陷。

应用系统安全评估过程中，可按照用户需求单独开展代码审计服务，代码审计即使用专业扫描工具对源代码数据流、语义、结构、控制流、配置流等方面进行动态与静态扫描，扫描结果由专业人员进行研判、分析和确认。

网络信息安全评估主要工作包括：

（一）确定评估范围及对象

（二）资产识别与分析

（三）脆弱性分析

（四）威胁识别与分析

（五）应用系统渗透测试

（六）应用系统代码审计

（七）已有安全措施及有效性分析

（八）风险分析及结果

（九）风险处置

（十）风险评价