1      服务方案制定、人员和工具管理

编制风险评估方案、风险评估模板，为风险评估实施活动提供总体计划或方案，方案包含风险评价原则。进行充分的系统调研，形成调研报告。根据风险评估目标以及调研结果，确定评估依据和评估方法。形成较为完整的风险评估实施方案。组建评估团队。根据评估的需求准备必要的工具。对评估团队实施风险评估前进行安全教育和技术培训。

2      资产识别、脆弱性识别、威胁识别、已有安全措施确认

识别重要信息资产，形成资产清单。对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查，并形成安全管理或技术脆弱性列表。对脆弱性进行赋值。参考国家或国际标准，对威胁进行分类；分析威胁利用脆弱性对组织可能造成的影响。识别组织已采取的安全措施；评价已采取的安全措施的有效性。

3      风险分析、风险计算、风险评价

构建风险分析模型。根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。在风险计算时，根据实际情况选择定性计算方法或定量计算方法。根据风险评价准则确定风险等级。对不同等级的安全风险进行统计、评价，形成最终的总体安全评价。向客户提供风险评估报告。报告包括但不限于评估过程、评估方法、评估结果、处置建议等内容。风险评估报告中对计算分析出的风险给予比较详细的说明。

4      风险处置

协助被评估组织确定风险处置原则，以及风险处置原则适用的范围和例外情况。对组织不可接受的风险提出风险处置措施。协助被评估组织召开评审会。依据最终的评审意见进行相的整改，形成最终的整改材料。对组织提出完整的风险处置方案。必要时，对残余风险进行再评估。