风险评估过程主要包括：数据采集、安全评测、安全分析、“风险评估过程主要包括：数据采集、安全评测、安全分析、报告处理”一、数据采集方法有：问卷调查、人员访谈、漏洞扫描、渗透性测试数据采集方法有：问卷调查、人员访谈、漏洞扫描、等1、、问卷调查：下图是微软的MicrosoftSecurityAssessme
tTool问卷调查：一款风险评估应用程序，一款风险评估应用程序，目的是提供一些与信息技术IT基础架构中的安全最佳经验有关的信息和建议。构中的安全最佳经验有关的信息和建议。此应用程序是专为拥有50台台式机和（名员工的组织设计的。到500台台式机和（或）100到1000名员工的组织设计的。它首先采集一些信息（已问卷调查的形式），如下图所示。它首先采集一些信息（已问卷调查的形式），如下图所示。通过填写），如下图所示（图左上）然后通过它的一套算法最后生成一个报告。，一些配置信息图左上）然后通过它的一套算法最后生成一个报告。
f产生的分析报表：产生的分析报表：
f2、人员访谈也可以以调查问卷的形式作为系统参数的输入配置3、漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得，输入本系统二、安全评测、安全分析、报告处理等都属于本系统的功能，并采用安全评测、安全分析、报告处理等都属于本系统的功能，等都属于本系统的功能前面数据采集得到的数据
目前常见的自动化风险评估工具还包括：目前常见的自动化风险评估工具还包括：
CORACORA（CostofRiskA
alysis）是由国际安全技术公司（I
ter
atio
alSecurityTech
ologyI
cwwwistusacom）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据组织的风险管理决策支持提供准确的依据。ASSETASSET（AutomatedSecuritySelfEvaluatio
Tool）是美国国家标准技术协会（Natio
alI
stituteofSta
darda
dTech
ology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利安全风险自我评估的自动化工具，安全风险自我评估的自动化工具它采用典型的基于知识的分析方法，用问卷方式来评估系统安全现状与NISTSP80026指南之间的差距。NISTSpecialPublicatio
80026，即信息技术系统安全自我评估指南（SecuritySelfAssessme
tGuideforI
formatio
Tech
ologySystems），为组织r