随着固有资产***的疯狂增长，***项目品类繁多，质量参差不齐，经济环境日新月异，而市场、行业、政策、技术、人员等各种变动因素对项目***风险影响逐渐增大。

想要进行风险评估，就得了解项目有哪些风险，这是风险分析的基础，也是风险管理中必不可少的一步，只有掌握一个项目所有的风险因素，才能通过风险评估手段进行分析风险程度，并制定应对措施。

在风险评估过程中，有几个关键的问题需要考虑。

首先，要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?

其次，资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?

第三，资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何?

第四，一旦威胁事件发生，***会遭受怎样的损失或者面临怎样的影响?

***后，***应该采取怎样的安全措施才能将风险带来的损失降低到更低程度?

为了决定选择哪种风险评估途径，***首先对所有的系统进行一次初步的高风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出***内具有高风险的或者对其商务运作极为关键的信息资产(或系统)，这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。依据1993年***计划委颁布的《建设项目经济评价方法与参数》，在新建、改建或扩建项目的财务效益和国民经济效益方面，"***利润率"、"***利税率"、"内部收益率"和"净现值"四个指标必须达到规定的衡量标准，这些都要一一作出分析和评价。

将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个详细系统的评估结果，而且，***的资源和资金能够应用到能发挥作用的地方，具有高风险的信息系统能够被预先关注。详细风险评估的优点在于:1、***可以通过详细的风险评估而对信息安全风险有一个准确的认识，并且准确定义出***的安全水平和安全需求。当然，组合评估也有缺点:如果初步的风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，***终导致结果失准。