风险评估一般分为哪些步骤

风险评估准备阶段

首先确定评估的目标以及评估的范围，制定出安全风险评估方案，最终组建评估小组，明确各方责任。

资产识别过程

资产识别的范围主要包括：网络硬件资产、数据资产、软件资产、服务、信息和人员等， 对资产范围内的资产进行识别，并评估资产破坏后可能造成的影响大小，同时根据危害与损失大小对资产进行赋值根据资产在保密性、完整性和可用性上的要求，对资产进行保密性赋值、完整性赋值、可用性赋值和字长重要程度赋值。

威胁识别过程

威胁识别阶段评估人员根据常见的威胁分为：

1、系统内部威胁例如操作失误、行为抵赖；

2、系统外部威胁例如数据或系统被篡改、系统被攻击；

3、系统原因例如资产设备发生故障、系统由于其他其他软件或者漏洞引发的恶意代码威胁；

4、其他威胁例如通信中断、自然灾害、安全管理不到位、权限越权或滥用;

根据不同威胁严重程度进行赋值，赋值数越大，威胁程度越高。

脆弱性识别过程

脆弱性分为管理脆弱性和技术脆弱性，管理脆弱性主要通过调查问卷，访谈分析现有的管理制度；技术脆弱性通过借助专业的脆弱性检测工具和对评估范围内的软硬件安全配置进行检查来识别，脆弱性识别之后还需根据脆弱性严重程度程度进行赋值，赋值数越大，脆弱性严重程度越高。

综合风险分析

根据适当的方法与工具进行安全风险分析和计算，根据自身情况选择相应的风险计算方法计算出风险值，如矩阵法和相乘法等。如果风险值在可接受的范围内，该风险为可接受风险，若该风险在不可接受范围内，则采取安全措施降低控制风险。