7. 風險評估的常用方法

1）基于知識（Knowleclge-basecl）的分析方法

基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關的信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳。限例進行比例，從中找出不符合的地方，并按照標準或最佳慣例的推薦安全措施，最終達到消減和控制風險的目的。基于知識的分析方法，最重要的還在于評估信息的采集，信息源包括：

◇會議討論

◇對當前的信息安全策略和相關文檔進行復查

◇制作問卷，進行調查

◇對相關人員進行訪談◇進行實地考察

2)基于模型（Moclel-based）的分析方法

2001年1月，由希臘、德國、英國、挪威等國的多家商業公司和研究機構共同組織開發CORAS項目。CORAS沿用了識別風險、分析風險、評價并處理風險這樣的過程，但其處置風險的方法則完全不同，所有的分析過程都是基于面向對象的模型來進行的。