⏹风险分析评估流程主要包括以下几个方面的内容：
⏹0、现有信息系统分析：对现有信息系统、所处环境、管理
组织、用户的安全需求进行调查分析，是分析工作的基点。

⏹1、识别关键资产与安全需求：根据信息系统分析的结果识
别出系统的关键资产，以此为核心进行风险分析工作，并分析组织的安全需求，如可用性、机密性、完整性要求。

⏹2、识别威胁：识别出信息系统主要的安全威胁、以及相应
的威胁途径/方式。

⏹3、识别脆弱点：通过测试或访谈的形式识别出系统在技术
脆弱点与管理方面的薄弱环节，以及组织的事件防范能力。

⏹4、分析事件影响：结合组织的安全需求，事件控制能力，
信息系统结构综合分析威胁事件对信息系统可能造成的影响。

⏹5、综合风险评估：综合关键资产、威胁因素、脆弱点及防
范能力、综合事件影响评估组织面临的风险。

⏹风险的计算
精确算法
风险＝安全事件概率×安全事件影响
精确计算风险需要明确地计算出风险事件发生的概率，以及准确计算出事件对组织的影响（直接的经济影响以及相关的声誉影响）。

定性的算法通过对影响风险的各类因素近似表征系统的风险，一般常见的考虑因素为：
⏹表征安全事件发生概率程度的相关因素：威胁因素程度，脆弱
点严重程度
⏹表征安全事件影响程度的相关因素：组织信息安全需求，已有
防范措施的有效程度，已有控制措施的有效程度。