风险评估的基础是首先要对以下几项内容进行估计：风险事件发生的可能性大小；可能的结果范围和危害程度；预期发生的时间；一个风险因素所产生的风险事件的发生频率。常用的方法工具包括：风险可能和危害分析等级矩阵、项目假定测试(project   assumpti testing)、数据精度分级(data precision ranking)。

(1)风险可能和危害分析等级矩阵。风险的大小是由两个方面决定的，一是风险发生的可能性，另一个是风险发生后对项目目标所造成的危害程度，对这两方面，可以用一些定性的描述词分别进行描述，如“非常高的”、“高的”、“适度的”、“低的”和“非常低的”等。

(2)项目假定测试。风险评估中的项目假定测试是一种模拟技术，它是分别对一系列的假定及其推论进行测试，进而发现风险的一些定性信息。

(3)数据精度分级。风险估计需要准确的、不带偏见的有益于管理的数据，数据精度分级就是应用于这方面的一种技术，它可以估计有关风险的数据对风险管理有用的程度。它包括如下的方面：风险的了解范围；有关风险的数据；数据的质量；数据的可信度和真实度等。

项目管理的本质是计划、预测、预算和估算，这都表明了项目中的确定因素是很少的。因此，要决定项目的不确定性就需要考虑项目的方方面面。但这是非常不切实际的，因为评估需要的成本和时间是有限的，因此，一般需要保证的是，风险评估的对象必须是那些在项目中受到严重的约束和具有较大不确定性的地方。另外，需要强调的是，这个评估的过程事实上是反复的，只有当评估者和项目经理都认为所有未发现的风险都是无关紧要的时候，风险评估才能完成。评估过程允许风险承担者定义风险类型。可以根据概率和影响，或者根据安全措施和冒险。影响表示的是作用于预算、项目完成时间表、工作质量或者项目安全性的影响的严重程度。风险发生的概率及风险影响的程度究竟是高还是低，是风险评估者和项目经理所关心的问题。

***价值指标优点

1.***价值以经营性现金流量净额为出发点，剔除了***收益和营业外收支。

2.***价值采用收付实现制来计算，剔除各种利润调节手段的影响。

3.***价值指标扣除各种***项目的现金流出，具有自由现金流量的优点。

***性的现金流量净额不仅和当期经营业绩相关，也和以后一ding时期经营业绩相关，因此采用过去几年的平均***性现金流量净额进行计算，就可以将过去的***和当期的经营收益挂钩，更加合理地反映企业的经营业绩，同时这种处理办法也可以避免资本支出不均衡的缺陷。考虑到企业经营的实际情况和数据取得的可能性，我们采用过去三年内的平均***现金流量净额的相反数。

4.***价值指标也同样计量资本成本，在将其扣除以后反映企业真实创造的价值，具有EVA的优点。

由上可见，***价值这一指标正面地揭示了企业的经营、***、的基本信息，因此该指标能在一ding程度上揭示企业在有关会计年度创造的真实价值。

内容一、资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产***后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等。

   内容二、威胁识别与赋值：即分析资产所面临的每种威胁发生的频率，威胁包括环境因素和人为因素。

   内容三、脆弱性识别与赋值：从管理和技术两个方面发现和识别脆弱性，根据被威胁利用时对资产造成的损害进行赋值。

   内容四、风险值计算：通过分析上述测试数据，进行风险值计算，识别和确认高风险，并针对存在的安全风险提出整改建议。

   内容五、被评估单位可根据风险评估结果防范和化解信息安全风险，或者将风险控制在可接受的水平，为大限度地保障网络和信息安全提供科学依据。