（一）定性风险评估

主观概率

由于项目的一次性和独特性，不同项目的风险往往存在差别。因此，项目管理者在很多情况下要根据自己的经验，去测度项目风险事件发生的概率或概率分布，这样得到的项目风险概率被称为主观概率。主观概率的大小常常根据人们长期积累的经验、对项目活动及其有关风险事件的了解而估计。主观概率的大小常常根据人们长期积累的经验、对项目活动及其有关风险事件的了解而估计。

风险事件后果的估计

风险事故造成的损失大小要从三个方面来衡量：风险损失的性质、风险损失范围的大小和风险损失的时间分布。

(二)定量风险评估

定量风险评估包括访谈法、盈亏平衡分析、敏***分析、决策树分析和非肯定型决策分析。

风险分析能够加深对风险的理解。它为风险评价提供输入，以确定风险是否需要处理以及***适当的处理策略和方法。风险评估报告，是***评估人员根据项目主办单位提供的项目可行性研究报告，通过对目标项目的全i面调i查、综合分析和科学判断，确定目标项目是否可行的经济文书。风险分析要考虑导致风险的原因和风险源、风险后果及其发生的可能性，识别影响后果和可能性的因素，还要考虑现有的风险控制措施及其有效性。然后结合风险发生的可能性及后果来确定风险水平。

根据风险分析的目的、可获得的可靠数据以及***的决策需要，风险分析可以是定性的、半定量的、定量的或以上方法的组合。定性评估可通过“高、中、低”这样的表述来界定风险事件的后果、可能性及风险等级。因此***方进行风险评估，通常是为了深入了解项目整体运营系统中，究竟面临什么风险。如将后果和可能性两者结合起来，并与定性的风险准则相比较，即可评估***终的风险等级。半定量法可利用数字分级尺度来测度风险的可能性及后果，并运用公式将二者结合起来，得出风险等级。

风险评估是指，在风险事件发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估报告是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。(三)项目的性质和规模由于各科技计划项目的性质不同，风险对其影响程度也不一样。作为风险管理的基础，风险评估是***确定信息安全需求的一个重要途径，属于***信息安全管理体系策划的过程。