随着网络与信息安全威胁的快速发展，国家对网络与信息安全重视程度的日益提升，为更好满足国家和行业的安全监管要求及自身业务实际安全防护需求，关键信息基础设施及其它机构需要通过安全管理和技术手段及时掌握自身实际安全防护效果，做到安全投入有的放矢，切实达到预期效果。

（1）渗透测试服务：渗透测试时通过模拟黑客思维和攻击手段，对计算机业务系统的弱点、技术缺陷和漏洞进行探查评估。经过客户授权后，在不影响业务系统正常运行的条件下，渗透人员在黑客可能的不同位置，采取可控的方法、手段和工具，对某个特定的业务系统进行主动分析和测试，发现和挖掘业务系统中存在的弱点、技术缺陷或漏洞，输出渗透测试报告，提交给业务系统所有者。业务系统的所有者根据渗透人员提供的渗透测试报告，可以清晰知晓业务系统中存在的安全隐患和问题。

（2）风险评估服务：信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

政策和标准依据：

《中华人民共和国网络安全法》

《信息安全技术网络安全等级保护基本要求》

《信息安全技术网络安全等级保护测评要求》

《GB/T 20984-2007 信息安全技术-信息安全风险评估规范》

《GB/T 31509-2015 信息安全技术-信息安全风险评估实施指南》