风险评估是指，在风险事件发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估报告是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础，风险评估是***确定信息安全需求的一个重要途径，属于***信息安全管理体系策划的过程。

风险评估就是在充分掌握资料的基础之上，采用合适的方法对已识别风险进行系统分析和研究，评估风险发生的可能性（概率）、造成损失的范围和严重程度（强度），为接下来选择适当的风险处理方法提供依据。根据实际需要的不同可以对风险进行定性分析和定量分析。定性分析一般是根据风险度（重要程度）或风险大小（概率×强度）等指标对风险因素进行优先级排序，为进一步分析或处理风险提供参考，常用方法有***打分法等。

在对定性衡量指标进行评估时，为了使企业风险评估的使用更加便捷，将风险子项的存在形式进行设计，主要是以文字具体描述风险内容及特征这种形式存在，这样使风险更加直观。为了进一步确保企业风险评估时定性和定量指标的可比性，需要对定性指标量化后的结果和定量指标进行汇总，后期望值的获取主要是通过综合分析来实现。这里值得注意的是：对定性衡量指标评估权重的确定，不应该将其统一起来，因此，其确定是没有单一标准的，应该根据企业的实际情况来综合确定。由于企业所处的行业不同，面对同一种风险其也有着不同的敏感度。