2. 風險評估

風險評估確定信息資產的價值、識別適用的威脅和（存在或可能存在的）脆弱點、識別現有控制措施及其對已識別風險的影響，確定潛在后果，對風險進行最終的優先級排序，并按照風險范疇中設定的風險評價準則進行排名。

風險評估的目的是通過風險評估的結果，來獲得信息安全需求，信息安全風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監督活動。風險評估使得組織能夠準確定位風險管理的策略、實踐和工具，能夠將安全活動的重點放在重要的問題上，能夠選擇有合理成本效益的和適用的安全對策。基于風險評估的風險管理方法被實踐證明是有效的和實用的，已被廣泛應用于各個領域。

風險評估的過程包括風險評估準備、風險要素識別、風險分析和風險結果判定四個階段。在信息安全風險管理過程中，風險評估活動接受背景建立階段的輸出，形成本階段的最終輸出《風險評估報告》，此文檔為風險處理活動提供輸入。監控審查和溝通咨詢貫穿風險評估的四個階段。

1)風險評估準備

制定風險評估計劃制定風險評估方案

選擇風險評估方法和工具

2)風險要素識別

識別需要保護的資產并賦值識別面臨的威脅并賦值

識別存在的脆弱性并賦值確認已有的安全措施

3)風險分析

計算安全事件發生的可能性計算安全事件造成的損失

實施風險計算

4)風險結果判定評價分析結果

綜合判定風險等級