风险评估是在风险管理过程的一个步骤。风险评估是将不确定的威胁或损失进行量化的工作。风险评估的量化需要计算两部分风险：潜在损失的大小，和损失发生的概率。在所有类型 的复杂系统工程都利用先进的风险评估系统来增加工程的安全性和可靠性，尤其在涉及到生活，环境或机器运转领域。核工业、航天、石油、铁路、军工等行业使用风险评估有着悠久的历史。此外，医疗、医院和食品工业控制风险和进行风险评估的应用在持续推进。因为财务决策、环境、生态或公共健康风险的不同，在不同行业间和风险评估方法也不同。

　　风险评估的三种可行途径

在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。

风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

　　风险评估的角色及职责

1、 风险评估的角色

信息安全风险评估（以下简称风险评估）在具体实施过程中将涉及多个参与方，参与方在评估中扮演不同的角色。在一个完整的信息安全风险评估当中，一般包括主管机关、信息系统拥有者、信息系统承建者、信息安全评估机构以及信息系统的相关机构。

2、 风险评估的职责

其各自的职责为：

（1）行政审批

主管机关具有风险评估的行政审批权力，主要负责提出、制定并批准本部门的信息安全风险管理策略，领导和组织本部门内的信息安全评估工作。基于本部门内信息系统的特征以及风险评估的结果，判断信息系统残余风险是否可接受，并确定是否批准信息系统投入运行。检查信息系统运行中产生的安全状态报告；定期或不定期地开展新的信息安全风险评估工

（2）组织协调

信息系统拥有者具有风险评估的组织协调权力，将负责制定安全计划，报主管机关审批；组织实施信息系统自评估工作；配合强制性检查评估或委托评估工作，并提供必要的文档等资源；向主管机关提出新一轮风险评估的建议；改善信息安全防护措施，控制信息安全风

（3）措施整改

信息系统承建者应根据对信息系统建设方案的风险评估结果修正安全方案，使安全方案成本合理、积极有效，在方案中有效地控制风险；规范建设，减少在建设阶段引入的新风险；确保安全组件产品得到了相关机构的认证。

（4）具体实施

信息安全评估机构提供独立的信息安全风险评估；对信息系统中的安全防护措施进行评估，以判断这些安全防护措施在特定运行环境中的有效性以及实现了这些措施后系统中存在的残余风险；提出调整建议，以减少或根除信息系统中的脆弱性，有效对抗安全威胁，控制风险；保护风险评估中获得的敏感信息，防止被无关人员和单位获得。

（5）辅助支持

信息系统的相关机构为风险评估提供辅助支持，遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信息安全风险；协助风险评估机构确定评估边界；在风险评估中提供必要的资源和资料。

　　风险评估过程注意事项

在风险评估过程中，有几个关键的问题需要考虑。 　

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？ 　

其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？ 　　                      第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？ 　　

第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？ 　　

最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？ 　　

解决以上问题的过程，就是风险评估的过程。

　　进行风险评估时，有几个对应关系必须考虑　

每项资产可能面临多种威胁 　　

威胁源（威胁代理）可能不止一个 　　

每种威胁可能利用一个或多个弱点