ISO27001信息安全風(fēng)險評估是對信息在生成、存儲和傳輸過(guò)程中的機密性、完整性、可用性被破壞的可能性以及由此產(chǎn)生的后果進(jìn)行的估計或評估，是組織確定信息安全需求的過(guò)程。在充分考慮企業(yè)各種風(fēng)險的原因和不穩定性后，本文在我國大中型企業(yè)實(shí)際經(jīng)營(yíng)狀況的前提下，對企業(yè)風(fēng)險進(jìn)行了不同層次的風(fēng)險評估和經(jīng)營(yíng)風(fēng)險。

一方面，在企業(yè)各級風(fēng)險評估中建立風(fēng)險指標體系，設計風(fēng)險計算模型，計算企業(yè)的基本風(fēng)險值，反映企業(yè)各級風(fēng)險評估的整體固定風(fēng)險狀況。另外，由于企業(yè)層面是比較固定穩定的風(fēng)險，所以對這些風(fēng)險的評估次數盡量少。本文每年評估一次，最終得到一個(gè)風(fēng)險綜合值。

另一方面，主要針對業(yè)務(wù)運營(yíng)過(guò)程中風(fēng)險因素的復雜性。本文還在業(yè)務(wù)運營(yíng)中建立了風(fēng)險指標體系，并利用設計的風(fēng)險計算模型計算企業(yè)的實(shí)時(shí)風(fēng)險值。這方面的風(fēng)險評估測試主要是實(shí)時(shí)反映業(yè)務(wù)部門(mén)運營(yíng)過(guò)程中的風(fēng)險狀況。由于業(yè)務(wù)活動(dòng)面臨的風(fēng)險是動(dòng)態(tài)的、復雜的，所以風(fēng)險評估的操作頻率較高，可以每月或每季度測試一次，從而計算出實(shí)時(shí)風(fēng)險值，然后在年底結合這兩個(gè)方面的風(fēng)險值。只要實(shí)施這一風(fēng)險評估體系，企業(yè)就能清楚地掌握和及時(shí)了解企業(yè)的整體信息安全風(fēng)險，從而提高企業(yè)的信息安全管理水平。

針對大中型企業(yè)的實(shí)際經(jīng)營(yíng)情況，總結了企業(yè)可能面臨的信息安全風(fēng)險的外部因素和內部因素。根據匯總表，我們知道企業(yè)在經(jīng)營(yíng)過(guò)程中總是面臨風(fēng)險，每個(gè)風(fēng)險形成不同的風(fēng)險因素，每個(gè)風(fēng)險因素還包括幾個(gè)風(fēng)險因素，每個(gè)風(fēng)險因素可能對應一個(gè)或多個(gè)衡量指標，每個(gè)衡量指標都會(huì )得到一個(gè)風(fēng)險評估結果。

ISO27001企業(yè)信息安全風(fēng)險評估體系過(guò)程中的所有下一級風(fēng)險水平都直接影響一級風(fēng)險水平，上一級風(fēng)險水平由下一級風(fēng)險水平確定。