在风险评估过程中，有几个关键的问题需要考虑。

首先，要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?

其次，资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?

第三，资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何?

第四，一旦威胁事件发生，***会遭受怎样的损失或者面临怎样的影响?

***后，***应该采取怎样的安全措施才能将风险带来的损失降低到更低程度?

"风险识别"(risk identification)是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、***的意见，以及利益相关方的需求。

"风险评价"(risk evaluation)是把风险分析的结果与风险准则相比较，以决定风险和/或其大小是否可接受或可容忍的过程。正确的风险评价有助于***对风险应对的决策。

******倍数，表示息税前收益对***费用的倍数，反映公司负债经营的财务风险程度。作为风险管理的基础，风险评估是***确定信息安全需求的一个重要途径，属于***信息安全管理体系策划的过程。公式：******倍数=(利润总额 财务费用)÷财务费用。一般情况下，该指标值越大，表明公司偿付借1款***的能力越强，负债经营的财务风险就小。98年沪深两市该指标平均值为36.57%。由于财务费用包括***收支、汇兑损益、手续费等项目，且还存在资本化***，所以在运用该指标分析***偿付能力时，尽量将财务费用调整为真实的***净支出，这样反映公司的偿付***能力***准确。