企业的信息安全风险状况总是处于动态变化之中，法律法规、人员、流程、资产、威胁、应用环境、安全事件等的变化都会影响风险的高低，因此，需要定期实施风险评估，发现风险变化的趋势，及时采取相应的控制措施，将风险维持的可接受的风险水平之内。

正常状况下，一年至少进行一次风险评估。如果风险环境和因素发生了显著的变化，如企业的兼并分拆、流程调整、关键人员变动、资产增加、引进新项目、操作系统或应用系统变化、网络环境变化，应该立即实施风险评估，并根据风险评估结果，采取相应的措施。