含评估范围中信息系统环境的安全现状、存在安全问题、潜在威胁和改进措施。协助对列出的安全问题进行改进或调整，提供指导性的建设方案：
《安全现状分析报告》《安全解决方案》
15风险评估手段
在风险评估过程中，可以采用多种操作方法，包括基于知识（K
owledgebased）的分析方法、基于模型（Modelbased）的分析方法、定性（Qualitative）分析和定量（Qua
titative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。
151基于知识的分析方法
在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。
基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；进行实地考察；为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。
152基于模型的分析方法
20RR年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目，即PlatformforRiskA
alRsisofSecuritRCriticalSRstems。
【MeiWei_81重点借鉴文档】
f【MeiWei_81重点借鉴文档】
该项目的目的是开发一个基于面向对象建模特别是UML技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT系统的安全。CORAS考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS风险评估，组织可以定义、获取并维护IT系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。
与传统的定性和定量分析类似，CORAS风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS的优点在于：提高了r