进行IT系统风险评估提供了众多控制目标和建议技术。ASSET是一个免费工具，可以在NIST的网站下载：httpicat
istgov。CRAMMCRAMM（CCTARiskA
alysisa
dMa
ageme
tMethod）是由英国
f政府的中央计算机与电信局（Ce
tralComputera
dTelecommu
icatio
sAge
cy，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分析定量风险分析工具，定量风险分析工具同时支持定性分析。经过多次版本更新（现在是第四版）目前由I
sight咨询公司负责管理和授权。，CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产威胁弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS7799标准保持一致，它提供的可供选择的安全控制多达3000个。除了风险评估，CRAMM还可以对符合ITIL（ITI
frastructureLibrary）指南的业务连续性管理提供支持。COBRACOBRA（Co
sultativeObjectivea
dBifu
ctio
alRiskA
alysis）是英国的CA系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA还支持基于知识的评估方法，可以将组织还支持基于知识的评估方法，标准相比较，从中找出差距，提出弥补措施。CA公的安全现状与ISO17799标准相比较，从中找出差距，提出弥补措施司提供了COBRA试用版下载：httpwwwsecurityriska
alysiscomcobdow
htm。
术语简称：术语简称：可以用微软的那种方式采集得到，micro可以用微软的那种方式采集得到，下面简称microstyle
下面是我们产生的评估报告大体的下面是我们产生的评估报告大体的初步的框架初步的框架风险评估报告
一、风险评估项目概述工程项目概况（microstyle）11工程项目概况（microstyle）111建设项目基本信息112建设单位基本信息二、风险评估的目标
f风险评估的依据（技术标准及相关法规文件）三、风险评估的依据（技术标准及相关法规文件）风险评估的范围（评估对象）四、风险评估的范围（评估对象）31评估对象构成及定级网络结构（microstyle）311网络结构（microstyle）业务应用（microstyle）322业务应用（microstyle）子系统构成及定级（333子系统构成及定级（在311和322基础根据国家标准对该系统安全等级定级级定级，上根据国家标准对该系统安全等级定级，不r