ISO/IEC 27005:2011 是为风险管理提供指南的 ISO 标准，并包含对该过程的评估部分的大量建议。一个可笑的简短摘要可能是：

• 通过以下方式识别风险：
  • 识别您的资产
  • 识别每项资产的威胁
  • 确定保护每项资产的现有控制措施
  • 识别威胁可能利用的每项资产中的漏洞
  • 确定对每项资产造成损害的后果
• 通过以下方式分析风险：
  • 确定损害的可能性（即丧失机密性、完整性或可用性）
  • 确定伤害的影响
  • 组合这些值以分配风险级别
• 通过将级别与可接受的风险阈值进行比较来评估风险

您通常会通过清点资产并就资产与资产的所有者和维护者进行面谈来完成识别步骤。

分析阶段通常是定性的并且相当简单。例如，您可以为每个风险的可能性和影响分配低、中或高的值，然后有一个简单的表格来显示相应的风险值。高可能性和高影响意味着高风险，等等。这似乎相当简单，但很难对所有风险的可能性和影响给出精确的量化值。我的办公室下周被烧毁的可能性有多大？Spock 可能将概率估计为 2.457%，但我是人类，所以我能做的最好的估计是“非常低”。当然，您的情况可能会有所不同。

最后，评估阶段只是将风险水平与您认为可接受的水平进行比较，以查看风险是否需要处理。同样，这有点简单，但您进行分析的原因是确定 a）您需要处理哪些风险以及 b）按照什么顺序进行操作。

我无法回答大型组织，但对于小型组织，我发现以下风险评估矩阵通常足以让管理层 a) 考虑安全性和失败的可能影响 b) 帮助他们做出有关资源的决策/努力可以/需要投资。

+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| What           | Current level of security | Improvement Effort Needed | Data Sensitivity | Impact of Worst Case Scenario |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| Product Foo    | low                       | ++                        | -                |                               |
| - component a  | reasonable/good           | High                      | Medium           | Major                         |
| - component b  | very low!                 | Medium (requires time)    | Medium+          | Non acceptable                |
| - ...          | ...                       | ...                       | ...              | ...                           |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+

上面的矩阵非常简单，远非完美，但它让人们思考问题和可能的后果，它足够直观，可以在组织内的多个层次上发挥作用，并作为开始优先考虑在哪里投入精力的基础.