ISO27001信息安全風險評估是對信息在生成、存儲和傳輸過程中的機密性、完整性、可用性被破壞的可能性以及由此產生的后果進行的估計或評估，是組織確定信息安全需求的過程。在充分考慮企業(yè)各種風險的原因和不穩(wěn)定性后，本文在我國大中型企業(yè)實際經營狀況的前提下，對企業(yè)風險進行了不同層次的風險評估和經營風險。

一方面，在企業(yè)各級風險評估中建立風險指標體系，設計風險計算模型，計算企業(yè)的基本風險值，反映企業(yè)各級風險評估的整體固定風險狀況。另外，由于企業(yè)層面是比較固定穩(wěn)定的風險，所以對這些風險的評估次數盡量少。本文每年評估一次，最終得到一個風險綜合值。

另一方面，主要針對業(yè)務運營過程中風險因素的復雜性。本文還在業(yè)務運營中建立了風險指標體系，并利用設計的風險計算模型計算企業(yè)的實時風險值。這方面的風險評估測試主要是實時反映業(yè)務部門運營過程中的風險狀況。由于業(yè)務活動面臨的風險是動態(tài)的、復雜的，所以風險評估的操作頻率較高，可以每月或每季度測試一次，從而計算出實時風險值，然后在年底結合這兩個方面的風險值。只要實施這一風險評估體系，企業(yè)就能清楚地掌握和及時了解企業(yè)的整體信息安全風險，從而提高企業(yè)的信息安全管理水平。

針對大中型企業(yè)的實際經營情況，總結了企業(yè)可能面臨的信息安全風險的外部因素和內部因素。根據匯總表，我們知道企業(yè)在經營過程中總是面臨風險，每個風險形成不同的風險因素，每個風險因素還包括幾個風險因素，每個風險因素可能對應一個或多個衡量指標，每個衡量指標都會得到一個風險評估結果。

ISO27001企業(yè)信息安全風險評估體系過程中的所有下一級風險水平都直接影響一級風險水平，上一級風險水平由下一級風險水平確定。