从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

1、资产重要性识别

信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。

2、威胁的识别

威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。

本项目对威胁的识别主要采取人员访谈结合人工分析的方式，人员访谈可以快速了解到被评估单位近期发生过何种威胁，通过面对面访谈关键资产的负责人，威胁识别小组的人员可以直接获得关键资产曾经遭受到的破坏，或在对一些安全事件进行分析后，间接得到威胁的源头。评估组成员还将在实际环境中，手工分析网站系统的日志，进一步分析信息系统所面临的威胁。

3、脆弱性识别

脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。

4、风险处置计划

对不可接受风险制定《风险处置计划》，风险处理计划中应明确采取弥补脆弱性的安全措施、预期效果、进度安排等。安全措施的选择应从管理与技术两个方面考虑，安全措施的选择与实施应参照信息安全的相关标准进行。