按照ISO27001建立信息安全管理体系（ISMS）是一项系统工程，其核心基础工作就是风险评估和风险处理。由于风险分析、风险评价及风险处理、剩余风险评估等需要处理大量的数据，包括资产分类、资产属性描述、信息分类、资产价值评估、CIA分析、威胁识别、薄弱点识别、影响及发生的可能性分析、风险分类及评价、处理方式及控制措施选择等，还要根据这些评估要素进行风险分析，生成资产清单、重要资产清单、资产分布分析、SOA、风险处理计划、风险评估报告等有价值的信息和资料。而且评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化，需要不断的重复的进行大量的数据处理。这些海量数据，如果采用手工处理，会占用大量的人力时间，导致风险评估效果和效率低下。另外，专门的风险评估软件工具的保密性好，可以保护风险评估资料和结果的安全。因此，借助于风险评估和风险管理工具或软件是非常必要的。