ISO27001信息安全风险评估的实施主要有以下内容：

    （1）资产识别

    （2）资产的安全属性赋值及权重计算

    （3）威胁分析

    （4）薄弱点分析

    （5）威胁发生可能性及影响分析

    （6）风险计算

    （7）风险处理计划制定 

      风险评估是一项综合的系统工程，既涉及到技术，又涉及到管理。风险评估过程中既需要采用技术的检测手段，又需要进行综合的归纳、总结和分析方法。

  　 风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都需要根据被评估实际情况，与被评估方共同确定。

      ISO27001信息安全风险评估是否会影响系统的业务正常运行？

　   除针对服务器的漏洞扫描、诊断及渗透性测试外，风险评估不会对系统的业务运行造成影响。即使是渗透性测试，也仅仅是为了验证漏洞存在给系统可能造成的后果（如文件窃取、控制修改关键程序/进程等），而不是以破坏系统为目的。评估人员在执行渗透性测试前，会将详细的渗透测试方案与用户交流，包括渗透测试对象、测试强度、可能后果、提前备份等要求，并经用户认可后方能实施。 

      ISO27001信息安全风险评估的结果形式是什么？

　   ISO27001信息安全风险评估在评估过程中将生成一系列的风险评估操作记录，包括：重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等，最后将生成三份评估结果：

　   脆弱性评估报告：以资产为核心，描述该资产存在的薄弱点。 

      风险评估报告：反映了风险评估整个过程、方法、内容及风险结果。

      风险处理计划：针对识别的风险，提出具体的控制目标和控制措施。

      ISO27001信息安全风险评估的周期有多长？

　   信息安全风险评估没有确定的时间周期，一般两年一次进行定期的评估，但当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信息安全事故等情况下应进行风险评估。

　　此外，对系统规划、扩建时也需要进行风险评估，为安全需求、安全策略的制定提供依据。