风险评估可划分为三个阶段

　　风险是对实现目标有所影响的事件的发生的可能性。从概念可以看到，风险有影响及可能性两个属性，而影响是由资产的价值与资产存在的弱点决定的，可能性是由资产面临的威胁及资产存在的弱点决定的。因此风险评估需要对资产、弱点及威胁进行综合分析。

　　风险评估工作一般有以下几个步骤：

　　步骤1：描述分析评估对象，确定其目标或者价值

　　步骤2：识别评估对象存在的弱点

　　步骤3：识别评估对象面临的威胁

　　步骤4：通过分析弱点及威胁，确定事件发生的可能性

　　步骤5：通过分析资产及弱点分析事件如果发生所造成的影响

　　步骤6：通过已经分析出的可能性和影响确定风险等级

　　步骤7：根据风险等级提出风险处置建议

　　这几个步骤可划分为风险识别、风险分析、风险定级三个阶段，如下图所示：

▲

　　图2 风险评估可划分为三个阶段

　　从这个过程可以看出，风险识别是风险评估的基础，只有完整地识别出被评估对象的风险才可能进行正确的风险分析、风险定级。风险识别是要对评估对象存在的弱点及面临的威胁进行识别。由于评估对象面临的威胁是客观存在的，因此识别评估对象存在的弱点也就成为风险识别的关键。