風險評估是組織確定信息安全需求的一個重要途徑，屬于組織安全管理策劃的過程。 風險評估工作包括：

1)確定保護的對象（保護資產(chǎn)）是什么？它們直接和間接價值？

2）資產(chǎn)面臨哪些潛在威脅？導致威脅的問題所在？威脅發(fā)生的可能性有多大？

3)資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？

4)一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？

一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網(wǎng)絡、系統(tǒng)、應用等層次進行識別，然后與資產(chǎn)、威脅對應起來。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。對應用在不同環(huán)境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、 判斷資產(chǎn)的脆弱性及其嚴重程度。信息系統(tǒng)所采用的協(xié)議、應用流程的完備與否、與其他網(wǎng)絡的互聯(lián)等也應考慮在內(nèi)。