風險評估方法有幾種

風險評估是對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析，判斷安全事件發生的概率以及可能造成的損失，提出風險管理措施的過程。常用的方法包括三種分別為：

• 基線評估

基線風險評估，組織根據自己的實際情況（所在行業、業務環境與性質等），對信息系統進行安全基線檢查（拿現有的安全措施與安全基線規定的措施進行比較，找出其中的差距），得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。

• 詳細評估

詳細風險評估要求對資產進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想，即識別資產的風險并將風險降低到可接受的水平，以此證明管理者所采用的安全控制措施是恰當的。

• 組合評估

基線風險評估耗費資源少、周期短、操作簡單，但不夠準確，適合一般環境的評估；詳細風險評估準確而細致，但耗費資源較多，適合嚴格限定邊界的較小范圍內的評估。基于在實踐當中，組織多是采用二者結合的組合評估方式。

將基線和詳細風險評估的優勢結合起來，既節省了評估所耗費的資源，又能確保獲得一個全面系統的評估結果，而且，組織的資源和資金能夠應用到最能發揮作用的地方，具有高風險的信息系統能夠被預先關注。當然，組合評估也有缺點：如果初步的高級風險評估不夠準確，某些本來需要詳細評估的系統也許會被忽略，最終導致結果失準。

回答所涉及的環境：聯想天逸510S、Windows 10。