風險評估是組織確定信息安全需求的一個重要途徑，屬于組織安全管理策劃的過程。 風險評估工作包括：

1)確定保護的對象（保護資產）是什么？它們直接和間接價值？

2）資產面臨哪些潛在威脅？導致威脅的問題所在？威脅發生的可能性有多大？

3)資產中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？

4)一旦威脅事件發生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？

一項需要保護的資產，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網絡、系統、應用等層次進行識別，然后與資產、威脅對應起來。脆弱性識別的依據可以是國際或國家安全標準，也可以是行業規范、應用流程的安全要求。對應用在不同環境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、 判斷資產的脆弱性及其嚴重程度。信息系統所采用的協議、應用流程的完備與否、與其他網絡的互聯等也應考慮在內。