風險評估（Risk Assessment）是指在風險事件發(fā)生之后，對于風險事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失進行量化評估的工作。

（1）對風險本身的界定。包括風險發(fā)生的可能性；風險強度；風險持續(xù)時間；風險發(fā)生的區(qū)域及關(guān)鍵風險點。

（2）對風險作用方式的界定。包括風險對企業(yè)的影響是直接的還是間接的；是否會引發(fā)其他的相關(guān)風險；風險對企業(yè)的作用范圍等。

（3）對風險后果的界定。在損失方面：如果風險發(fā)生，對企業(yè)會造成多大的損失？如果避免或減少風險，企業(yè)需要付出多大的代價？在冒風險的利益方面：如果企業(yè)冒了風險，可能獲得多大的利益？如果避免或減少風險，企業(yè)得到的利益又是多少？

風險評估的主要任務(wù)包括：

• 識別組織面臨的各種風險
• 評估風險概率和可能帶來的負面影響
• 確定組織承受風險的能力
• 確定風險消減和控制的優(yōu)先等級
• 推薦風險消減對策

在風險評估過程中，有幾個關(guān)鍵的問題需要考慮。

首先，要確定保護的對象（或者資產(chǎn)）是什么？它的直接和間接價值如何？

其次，資產(chǎn)面臨哪些潛在威脅？導致威脅的問題所在？威脅發(fā)生的可能性有多大？

第三，資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程度又如何？

第四，一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？

最后，組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度？

解決以上問題的過程，就是風險評估的過程。

進行風險評估時，有幾個對應關(guān)系必須考慮：

• 每項資產(chǎn)可能面臨多種威脅
• 威脅源（威脅代理）可能不止一個
• 每種威脅可能利用一個或多個弱點

在風險管理的前期準備階段，組織已經(jīng)根據(jù)安全目標確定了自己的安全戰(zhàn)略，其中就包括對風險評估戰(zhàn)略的考慮。所謂風險評估戰(zhàn)略，其實就是進行風險評估的途徑，也就是規(guī)定風險評估應該延續(xù)的操作過程和方式。

風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環(huán)境和安全要求相符合。組織應該針對不同的情況來選擇恰當?shù)娘L險評估途徑。目前，實際工作中經(jīng)常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

在風險評估過程中，可以采用多種操作方法，包括基于知識（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，無論何種方法，共同的目標都是找出組織信息資產(chǎn)面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。

基于知識的分析方法

在基線風險評估時，組織可以采用基于知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。

基于知識的分析方法又稱作經(jīng)驗方法，它牽涉到對來自類似組織（包括規(guī)模、商務(wù)目標和市場等）的“最佳慣例”的重用，適合一般性的信息安全社團。采用基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關(guān)信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，并按照標準或最佳慣例的推薦選擇安全措施，最終達到消減和控制風險的目的。