风险评估的基础是首先要对以下几项内容进行估计：风险事件发生的可能性大小；可能的结果范围和危害程度；预期发生的时间；一个风险因素所产生的风险事件的发生频率。常用的方法工具包括：风险可能和危害分析等级矩阵、项目假定测试(project   assumpti testing)、数据精度分级(data precision ranking)。

(1)风险可能和危害分析等级矩阵。风险的大小是由两个方面决定的，一是风险发生的可能性，另一个是风险发生后对项目目标所造成的危害程度，对这两方面，可以用一些定性的描述词分别进行描述，如“非常高的”、“高的”、“适度的”、“低的”和“非常低的”等。

(2)项目假定测试。风险评估中的项目假定测试是一种模拟技术，它是分别对一系列的假定及其推论进行测试，进而发现风险的一些定性信息。

(3)数据精度分级。风险估计需要准确的、不带偏见的有益于管理的数据，数据精度分级就是应用于这方面的一种技术，它可以估计有关风险的数据对风险管理有用的程度。它包括如下的方面：风险的了解范围；有关风险的数据；数据的质量；数据的可信度和真实度等。

行业标准或推荐

来自其他有类似商务目标和规模的***的惯例。

当然，如果环境和商务目标较为典型，***也可以自行建立基线。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多***，基线评估显然是经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。

基线评估的目标是建立一套满足信息安全基本目标的***小的对策集合，它可以在全***范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。

基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估;详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于在实践当中，***多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径，***首先对所有的系统进行一次初步的风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出***内具有高风险的或者对其商务运作极为关键的信息资产(或系统)，这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。

这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个系统的评估结果，而且，***的资源和资金能够应用到能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点:如果初步的风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，终导致结果失准。

经营靠管理，管理靠制度，制度靠流程，流程靠表单。运营管理体系能不能落地，与业务过程所用的表单密切相关，这些表单是否吻合企业的实际需要就显得尤为重要，因此我们需要对表单做出诊断，常见的诊断涉及如下几个内容：

　　1、考察项目计划模板的适用性

　　项目计划模板是运营管理过程中需要使用的重要表单，每一个项目开发计划的制定都源于此模板，对于这个模板中的'关键节点计划模板'，我们主要考察是否吻合公司管控要点，比如关注进度推进，关注现金流影响等。而对于模板中的'主项计划模板'我们主要考察是否满足主项计划制定的原则，比如关键路径事项，历史瓶颈事项，多部门协同事项等。

　　2、考察周报和月报的合理性

　　企业为了有效获得运营管理过程的信息，经常使用各种各样的周报/月报进行采集，因此我们需要考察周报/月报的合理性。在周报/月报使用上，各部门往往将其作为工作情况的汇报表，尽所能的描述每天开展的工作及进展，这样的报告看似很详尽，却背离了管理的初衷——企业希望通过这些表单了解的应该是工作进展、遇到的瓶颈、需要投入哪些资源解决、需要哪些部门协同等等。因此，诊断周报月报的合理性往往考虑表单设计的合理性，以及业务部门使用的合理性。