风险评估依据风险的概念模型做以下方面工作:评估前的准备工作,包括制定风险评估计划、确定风险评估程序、选择风险评估方法和工具等。识别需要保护的资产、面临的威胁和存在的脆弱性。在确认已有安全措施的基础上,分析威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度。分别对上述五个方面的分析结果进行评价,给出相应的等级划分,然后综合计算这五个方面的评价结果,最后得出风险的等级。
