風險評估是在風險管理過程的一個步驟。風險評估是將不確定的威脅或損失進行量化的工作。風險評估的量化需要計算兩部分風險：潛在損失的大小，和損失發生的概率。在所有類型 的復雜系統工程都利用先進的風險評估系統來增加工程的安全性和可靠性，尤其在涉及到生活，環境或機器運轉領域。核工業、航天、石油、鐵路、軍工等行業使用風險評估有著悠久的歷史。此外，醫療、醫院和食品工業控制風險和進行風險評估的應用在持續推進。因為財務決策、環境、生態或公共健康風險的不同，在不同行業間和風險評估方法也不同。

　　風險評估的三種可行途徑

在風險管理的前期準備階段，組織已經根據安全目標確定了自己的安全戰略，其中就包括對風險評估戰略的考慮。所謂風險評估戰略，其實就是進行風險評估的途徑，也就是規定風險評估應該延續的操作過程和方式。

風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統、特定系統組件和服務。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。目前，實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

　　風險評估的角色及職責

1、 風險評估的角色

信息安全風險評估（以下簡稱風險評估）在具體實施過程中將涉及多個參與方，參與方在評估中扮演不同的角色。在一個完整的信息安全風險評估當中，一般包括主管機關、信息系統擁有者、信息系統承建者、信息安全評估機構以及信息系統的相關機構。

2、 風險評估的職責

其各自的職責為：

（1）行政審批

主管機關具有風險評估的行政審批權力，主要負責提出、制定并批準本部門的信息安全風險管理策略，領導和組織本部門內的信息安全評估工作。基于本部門內信息系統的特征以及風險評估的結果，判斷信息系統殘余風險是否可接受，并確定是否批準信息系統投入運行。檢查信息系統運行中產生的安全狀態報告；定期或不定期地開展新的信息安全風險評估工

（2）組織協調

信息系統擁有者具有風險評估的組織協調權力，將負責制定安全計劃，報主管機關審批；組織實施信息系統自評估工作；配合強制性檢查評估或委托評估工作，并提供必要的文檔等資源；向主管機關提出新一輪風險評估的建議；改善信息安全防護措施，控制信息安全風

（3）措施整改

信息系統承建者應根據對信息系統建設方案的風險評估結果修正安全方案，使安全方案成本合理、積極有效，在方案中有效地控制風險；規范建設，減少在建設階段引入的新風險；確保安全組件產品得到了相關機構的認證。

（4）具體實施

信息安全評估機構提供獨立的信息安全風險評估；對信息系統中的安全防護措施進行評估，以判斷這些安全防護措施在特定運行環境中的有效性以及實現了這些措施后系統中存在的殘余風險；提出調整建議，以減少或根除信息系統中的脆弱性，有效對抗安全威脅，控制風險；保護風險評估中獲得的敏感信息，防止被無關人員和單位獲得。

（5）輔助支持

信息系統的相關機構為風險評估提供輔助支持，遵守安全策略、法規、合同等涉及信息系統交互行為的安全要求，減少信息安全風險；協助風險評估機構確定評估邊界；在風險評估中提供必要的資源和資料。

　　風險評估過程注意事項

在風險評估過程中，有幾個關鍵的問題需要考慮。 　

首先，要確定保護的對象（或者資產）是什么？它的直接和間接價值如何？ 　

其次，資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？ 　　                      第三，資產中存在哪些弱點可能會被威脅所利用？利用的容易程度又如何？ 　　

第四，一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？ 　　

最后，組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度？ 　　

解決以上問題的過程，就是風險評估的過程。

　　進行風險評估時，有幾個對應關系必須考慮　

每項資產可能面臨多種威脅 　　

威脅源（威脅代理）可能不止一個 　　

每種威脅可能利用一個或多個弱點