4)進行系統調研

系統調研是確定被評估對象的過程，風險評估小組應進行充分的系統調研，為風險評估依據和方法的選擇、評估內容的實施奠定基礎。調研內容至少應包括：業務戰略及管理制度；主要的業務功能和要求；網絡結構與網絡環境，包括內部連接和外部連接；系統邊界；

主要的硬件、軟件；數據和信息；系統和數據的敏感性；支持和使用系統的人員；其他。

系統調研可以采取問卷調查、現場面談相結合的方式進行。調查問卷是提供一套關于管理或操作控制的問題表格，供系統技術或管理人員填寫；現場面談則是由評估人員到現場觀察并收集系統在物理、環境和操作方面的信息。

5)確定評估依據和方法；

根據系統調研結果，確定評估依據和評估方法。評估依據包括（但不僅限于）：現有國際標準、國家標準、行業標準；行業主管機關的業務系統的要求和制度；系統安全保護等級要求；系統互聯單位的安全要求；系統本身的實時性或性能要求等。

據組織機構自身的業務特點、信息系統特點，選擇適當的風險分析方法并加以明確，如定性風險分析、定量風險分析，或是半定量風險分析。

根據評估依據，應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體的風險計算方法，并依據業務實施對系統安全運行的需求，確定相關的判斷依據，使之能夠與組織環境和安全要求相適應。