详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。

风险识别

"风险识别"(risk identification)是发现、承认和描述风险的过程。风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。风险识别包括历史数据、理论分析、有见识的意见、的意见，以及利益相关方的需求。

内容一、资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产***后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等。

   内容二、威胁识别与赋值：即分析资产所面临的每种威胁发生的频率，威胁包括环境因素和人为因素。

   内容三、脆弱性识别与赋值：从管理和技术两个方面发现和识别脆弱性，根据被威胁利用时对资产造成的损害进行赋值。

   内容四、风险值计算：通过分析上述测试数据，进行风险值计算，识别和确认高风险，并针对存在的安全风险提出整改建议。

   内容五、被评估单位可根据风险评估结果防范和化解信息安全风险，或者将风险控制在可接受的水平，为大限度地保障网络和信息安全提供科学依据。

问题一、要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

   问题二、资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

   问题三、资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？

   问题四、一旦威胁事件发生，***会遭受怎样的损失或者面临怎样的影响？

   问题五、***应该采取怎样的安全措施才能将风险带来的损失降低到低程度？

   问题六、每项资产可能面临多种威胁，威胁源（威胁代理）可能不止一个，每种威胁可能利用一个或多个弱点。