B.1 風險評估與管理工具

風險評估與管理工具大部分是基于某種標準方法或某組織自行開發的評估方法，可以有效地通過輸入數據來分析風險，給出對風險的評價并推薦控制風險的安全措施。
風險評估與管理工具通常建立在一定的模型或算法之上，風險由重要資產、所面臨的威脅以及威脅所利用的脆弱性三者來確定；也有的通過建立專家系統，利用專家經驗進行分析，給出專家結論。這種評估工具需要不斷進行知識庫的擴充。
此類工具實現了對風險評估全過程的實施和管理，包括：被評估信息系統基本信息獲取、資產信息獲取、脆弱性識別與管理、威脅識別、風險計算、評估過程與評估結果管理等功能。評估的方式可以通過問卷的方式，也可以通過結構化的推理過程，建立模型、輸入相關信息，得出評估結論。通常這類工具在對風險進行評估后都會有針對性地提出風險控制措施。
根據實現方法的不同，風險評估與管理工具可以分為三類：
a）基于信息安全標準的風險評估與管理工具
目前，國際上存在多種不同的風險分析標準或指南，不同的風險分析方法側重點不同，例如NIST SP 800-30 、BS7799、ISO/IEC 13335 等。以這些標準或指南的內容為基礎，分別開發相應的評估工具，完成遵循標準或指南的風險評估過程。
b）基于知識的風險評估與管理工具
基于知識的風險評估與管理工具并不僅僅遵循某個單一的標準或指南，而是將各種風險分析方法進行綜合，并結合實踐經驗，形成風險評估知識庫，以此為基礎完成綜合評估。它還涉及來自類似組織（包括規模、商務目標和市場等）的最佳實踐，主要通過多種途徑采集相關信息，識別組織的風險和當前的安全措施；與特定的標準或最佳實踐進行比較，從中找出不符合的地方；按照標準或最佳實踐的推薦選擇安全措施以控制風險。
c）基于模型的風險評估與管理工具
基于標準或基于知識的風險評估與管理工具，都使用了定性分析方法或定量分析方法，或者將定性與定量相結合。定性分析方法是目前廣泛采用的方法，需要憑借評估者的知識、經驗和直覺，或者業界的標準和實踐，為風險的各個要素定級。定性分析法操作相對容易，但也可能因為評估者經驗和直覺的偏差而使分析結果失準。定量分析則對構成風險的各個要素和潛在損失水平賦予數值或貨幣金額，通過對度量風險的所有要素進行賦值，建立綜合評價的數學模型，從而完成風險的量化計算。定量分析方法準確，但前期建立系統風險模型較困難。定性與定量結合分析方法就是將風險要素的賦值和計算，根據需要分別采取定性和定量的方法完成。