ISO27001信息安全風(fēng)險評估是對信息在生成、存儲和傳輸過程中的機密性、完整性、可用性被破壞的可能性以及由此產(chǎn)生的后果進行的估計或評估，是組織確定信息安全需求的過程。在充分考慮企業(yè)各種風(fēng)險的原因和不穩(wěn)定性后，本文在我國大中型企業(yè)實際經(jīng)營狀況的前提下，對企業(yè)風(fēng)險進行了不同層次的風(fēng)險評估和經(jīng)營風(fēng)險。

一方面，在企業(yè)各級風(fēng)險評估中建立風(fēng)險指標體系，設(shè)計風(fēng)險計算模型，計算企業(yè)的基本風(fēng)險值，反映企業(yè)各級風(fēng)險評估的整體固定風(fēng)險狀況。另外，由于企業(yè)層面是比較固定穩(wěn)定的風(fēng)險，所以對這些風(fēng)險的評估次數(shù)盡量少。本文每年評估一次，最終得到一個風(fēng)險綜合值。

另一方面，主要針對業(yè)務(wù)運營過程中風(fēng)險因素的復(fù)雜性。本文還在業(yè)務(wù)運營中建立了風(fēng)險指標體系，并利用設(shè)計的風(fēng)險計算模型計算企業(yè)的實時風(fēng)險值。這方面的風(fēng)險評估測試主要是實時反映業(yè)務(wù)部門運營過程中的風(fēng)險狀況。由于業(yè)務(wù)活動面臨的風(fēng)險是動態(tài)的、復(fù)雜的，所以風(fēng)險評估的操作頻率較高，可以每月或每季度測試一次，從而計算出實時風(fēng)險值，然后在年底結(jié)合這兩個方面的風(fēng)險值。只要實施這一風(fēng)險評估體系，企業(yè)就能清楚地掌握和及時了解企業(yè)的整體信息安全風(fēng)險，從而提高企業(yè)的信息安全管理水平。

針對大中型企業(yè)的實際經(jīng)營情況，總結(jié)了企業(yè)可能面臨的信息安全風(fēng)險的外部因素和內(nèi)部因素。根據(jù)匯總表，我們知道企業(yè)在經(jīng)營過程中總是面臨風(fēng)險，每個風(fēng)險形成不同的風(fēng)險因素，每個風(fēng)險因素還包括幾個風(fēng)險因素，每個風(fēng)險因素可能對應(yīng)一個或多個衡量指標，每個衡量指標都會得到一個風(fēng)險評估結(jié)果。

ISO27001企業(yè)信息安全風(fēng)險評估體系過程中的所有下一級風(fēng)險水平都直接影響一級風(fēng)險水平，上一級風(fēng)險水平由下一級風(fēng)險水平確定。