信息安全风险评估是指对信息系统中存在的安全威胁进行识别、分析和评估，以确定安全风险的大小和可能性，并提出相应的风险控制措施。信息安全风险评估是信息安全管理的重要组成部分，也是信息系统安全保障的基础。

GB/T 31509-2015标准规定了信息安全风险评估的实施过程，包括风险评估的准备工作、风险评估的实施、风险评估结果的分析和风险控制措施的制定等。标准要求风险评估应该基于风险管理的原则，采用科学的方法和技术，确保评估结果的准确性和可靠性。

标准要求风险评估应该包括以下步骤：

1. 风险评估准备工作：包括确定评估目标、范围和方法，组织评估团队，收集评估所需的信息和数据等。

2. 风险评估实施：包括风险识别、风险分析和风险评估等步骤。其中，风险识别是指对信息系统中存在的安全威胁进行识别和描述；风险分析是指对已识别的安全威胁进行分析，确定其可能性和影响程度；风险评估是指对已分析的安全威胁进行评估，确定其风险等级。

3. 风险评估结果的分析：对风险评估结果进行分析，确定风险控制措施的优先级和实施方案。

4. 风险控制措施的制定：根据风险评估结果，制定相应的风险控制措施，包括技术措施、管理措施和物理措施等。

标准还要求风险评估应该注重风险评估的全面性和系统性，考虑到信息系统的整体安全性和可靠性，同时也要注重风险评估的实用性和可操作性，确保评估结果能够为信息安全管理提供有效的参考依据。

相关标准
GB/T 22239-2008 信息安全技术 信息安全风险管理指南
GB/T 22080-2008 信息安全技术 信息安全风险评估指南
GB/T 25070-2010 信息安全技术 信息安全风险评估方法
GB/T 28422-2012 信息安全技术 信息安全风险评估指南
GB/T 31168-2014 信息安全技术 信息安全风险评估指南