BS 7799-2中并没有具体规定风险评估的方法,只是对评估工具和过程作了相应的规定,标准要求应该采用适当的风险评估方法。风险评估应该识别对资产的威胁、可能被威胁利用的薄弱点、威胁发生对组织的影响和发生的可能性,还应该能够确定风险的优先等级。
