風險評估包括風險辨識、風險分析、風險評價三個步驟:　

1.風險辨識。風險辨識是指查找企業(yè)各業(yè)務單元、各項重要經(jīng)營活動及其重要業(yè)務流程中有無風險，有哪些風險?！　?/span>

2.風險分析。風險分析是對辨識出的風險及其特征進行明確的定義描述，分析和描述風險發(fā)生可能性的高低、風險發(fā)生的條件?！　?/span>

3. 風險評價。風險評價是評估風險對企業(yè)實現(xiàn)目標的影響程度、風險的價值等。

     風險評估是指，在風險事件發(fā)生之后，對于風險事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

風險評估的主要任務包括：

1、識別組織面臨的各種風險；

2、評估風險概率和可能帶來的負面影響；

3、確定組織承受風險的能力；

4、確定風險消減和控制的優(yōu)先等級；

在風險評估過程中，有幾個關(guān)鍵的問題需要考慮：

首先，要確定保護的對象（或者資產(chǎn)）是什么？它的直接和間接價值如何？

其次，資產(chǎn)面臨哪些潛在威脅？導致威脅的問題所在？威脅發(fā)生的可能性有多大？

第三，資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程度又如何？

第四，一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？

最后，組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度？

 解決以上問題的過程，就是風險評估的過程。

進行風險評估時，有幾個對應關(guān)系必須考慮：

1.每項資產(chǎn)可能面臨多種威脅；

2.威脅源（威脅代理）可能不止一個；

3.每種威脅可能利用一個或多個弱點。