*風險評估，包括：

1.確定系統薄弱環節遭受特定威脅攻擊的可能性

2.評估機構信息資產所面臨的相對風險，以便風險管理和控制工作臺旨夠集中于那些需要得到最緊迫關注的資產

3.計算出暴露在當前配置下的資產風險

4.尋找一個處理已確認漏洞的控制方法以及一個控制資產所面臨風險的方法

5把風險評估的結果文檔化

*總結減少風險的方法，包括風險評估分析階段所得出如何進入風險控制的階段的結論，以備通過圖7—1概括了風險識別和評估的過程。*