起某项资产或一组资产的损害，从而直接地或间接地引起组织的损害。因此，风险和具体的资产威胁等级以及相关的弱点直接相关。
风险评估包括风险的计算、风险的处置和风险的安全对策选择。
332风险计算
采用下面的算术方法来得到信息资产的风险值：
风险值＝资产值×威胁值×弱点值风险等级与风险值对应关系参考下图：
风险等级
4
很高48、64
风险级别列表
风险取值范围
一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大。
一旦发生将产生较大的经济或社会影响，在一
3
高
24、27、32、36定范围内给组织的经营和组织信誉造成损害。
一旦发生会造成一定的经济、社会或生产经营
2
中
12、16、18
影响，但影响面和影响程度不大，一般仅限于
组织内部，通过一定手段就能解决
1
低
≤9
风险等级计算结果如下：
一旦发生造成的影响很小或几乎不存在，通过简单的措施就能弥补。
f根据计算出的风险值，对风险进行排序，并根据组织自身的特点和具体条件、需求，选择相应的风险处置方式。
34风险处置
341概述
风险的处置方法依照风险程度，根据风险等级来采取不同的处置方法。风险程度和遵照的处置方法建议见下表：
风险等级列表
符号
含义
建议处置方法
VH
很高风险需要管理层的高度注意：避免？转移？减少？
H
高风险
需要管理层的注意：避免？转移？减小？
M
中风险
必须规定管理责任：避免？接受？转移？减小？
L
低风险
用日常程序处理：避免？接受？转移？减小？
选择处置措施的原则是权衡利弊：权衡每种选择的成本与其得到的利益。当风险已经定义后，必须决定如何处置这些风险。
342风险处置方法
在考虑风险处理前，如果经评估显示，风险较低或处理成本对于组织来说不划算，则风险可被接受。这些决定应加以记录。
通常有四种风险处置的方法：1避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动来规避风险。
在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。2降低风险：实施有效控制，将风险降低到可接受的程度，实际上就是力图减少威胁发生的可能性和带来的影响，包括：
减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会；
f减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力；
降低影响：例如，制定灾r