风险评估的核心不仅仅是理论，更是实践。风险评估的实践工作是很困难的，据国外的统计数字显示，只有60％的风险评估是成功的。国内的风险评估工作面临的挑战更多，需要一定时间的积累和沉淀，就像要成为一个好的中医，要有个学和练的过程一样。
有人认为风险评估只是一个看病的过程，其实，看病就是在治病。因此，笔者就“看病治病”的风险评估过程的几个方面简单谈谈自己的心得与体会。
何为完整意义的风险评估？须从各个角度去观察，既要客观，又要全面。古语云：“横看成岭侧成峰，远近高低各不同。不识庐山真面目，只缘身在此山中。”故所谓信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。在风险评估中，最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。与信息系统的安全风险密切相关的因素包括：
(1)使命：即一个单位通过信息技术手段实现的工作任务。一个单位的使命对信息系统和信息的依赖程度越高，风险评估的任务就越重要。
(2)资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
(3)资产价值：资产的敏感程度、重要程度和关键程度。
(4)威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。
(5)脆弱性：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。
(6)事件：如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。