根據IS027001的標準，風險評估應包括兩部分：

一是估計風險大小的系統方法，即風險分析；

二是將估計的風險與給定的風險準則加以比較，以確定風險嚴重性的過程，即風險評價。

下面進行詳細說明。

一、風險分析

ISO27001風險分析的方法有很多種，包括定性的方法和定量的方法。其最終落腳點大多數會歸結到“可能性”與“影響程度”上面，并根據“可能性”和“影響”的組合確定風險程度。

而對于“可能性”與“影響”的評分，可以根據歷史經驗定性地給出，也可以通過進一步細化或者量化的方法更為精確地給出，最常用的方法之一是通過資產、威脅和脆弱性三個屬性進行分析。

1、資產屬性：即資產價值，指對信息資產的綜合評分，來源于企業(yè)的信息資產管理矩陣，可以通過對信息資產的機密性、完整性、可用性三方面分別進行定量評級后計算得出。

2、威脅屬性：指的是固有存在的威脅，需要考慮威脅產生的頻率和動機等方面。威脅是與資產相對應的，不同類別的信息資產可能面臨不同類別的威脅，某一資產可能同時面臨多個不同的威脅。相對的，一個威脅可能對不同的資產產生影響。威脅可能來源于意外的或者有預謀的事件。不同的威脅有著不同的動機和能力，因此，可以對威脅進行分析，對其出現的頻率量化和賦值。

3、脆弱性屬性：指資產薄弱點的嚴重程度，也以理解為資產被威脅所利用的可能性。薄弱點可能來自軟件、硬件、也可能來源于人員、環(huán)境及管理等方面。某個威脅可能利用多個薄弱點， 一個薄弱點也可能被多個威脅利用， 弱點一旦被威脅利用就可能產生風險， 從而影響到組織的運行或可持續(xù)性發(fā)展。通常從管理和技術兩個方面，通過人員訪談、現場觀察、文檔流程檢查等方法針對不同的資產進行脆弱性的嚴重程度量化和賦值。

4、通過對資產、威脅和脆弱性的評級，匯總成為“可能性”與“影響”的評分，再進而得到風險值的量化評分。

二、風險評價

通過上述ISO27001風險分析的過程，我們可以得到企業(yè)的風險列表，即源于不同資產，不同威脅以及現有的控制水平基礎上的所有風險。ISO27001風險的高低可依照得分的高低排序，其中得分為8的為最高風險點，為0的為最低風險點。

基于此表，風險評估要設定一個可接受的風險值，通常來講，此閾值的設定需要經過信息安全管理委員會或公司管理層的批準。低于或等于這個分值的，意味著風險可以接受，也就是可以維持現有的保護措施不變。而高于此分值的風險，意味著風險過高，企業(yè)需要采取某些控制措施去降低、回避或轉移風險。同時，對采取控制措施后的脆弱性進行進一步分析，以確保如果新的控制措施得以有效執(zhí)行，風險可以降低到可接受的范圍之內。

最后通過舉例來進行說明，假設某公司部分信息資產相當重要(資產價值評分為4)，而因為病毒導致公司信息遭到泄露的威脅也很高(評分為高)，再假設此公司未安裝任何防病毒軟件或防火墻，那么在防病毒方面的脆弱性評級同樣很高(評級為高)，從而查表可以得到結論，此公司的信息資產因為不存在對病毒的防范控制，從而存在很高的風險(評級為8)，那么一定要對此風險進行一定的改進措施，比如安裝殺毒軟件，購買防火墻等。再例如，同樣的信息資產和威脅前提，但公司裝有殺毒軟件和防火墻，只是防火墻的級別不夠高，殺毒軟件沒有及時升級，綜合評價其脆弱性水平為中，查表可得由此而得的風險水平較高(評級為7)。對于此種風險就要進行風險評價，按照公司的實際情況確定是否需要進行升級等措施使風險進一步降低。