目的：实施风险评估，识别不可接受风险，明确管理目标。

　　内容：风险评估是整个风险管理的基础，本阶段将根据前期策划的风险评估方法。

　　包括：a. 根据业务要求及信息的密级划分，对信息资产的重要程度进行判定，识别对关键核心业务具有关键

　　作用的信息资产清单;对重要信息资产从内部及外部识别其所面临的威胁;

　　b. 根据威胁，从管理和技术两方面识别重要信息资产所存在的薄弱点;

　　c. 根据风险评估的方法指南，对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可 用性三方面所造成的影响进行评价;评价威胁利用薄弱点引发安全风险事件的可能性;

　　d. 根据风险影响及发生的可能性评价风险等级;

　　e. 根据信息安全方针，各核心业务流程的安全要求，与管理层进行沟通，确定不可接受风险等级的标 准;

　　f. 针对不可接受的高风险，制定风险处理计划，从ISO27002及顾问的行业经验来选择适宜的风险管

　　控措施;实施所选择的控制措施，降低、转移或消除安全风险;

　　g. 编写风险评估报告。