風險評估是指在風險事件發生前或發生後(但尚未結束),對某壹風險事件對人的生命、生命、財產等方面造成的影響和損失可能性的定量評估。即風險評估是對某壹事件或事物可能帶來的影響或損失程度進行定量評估。
從信息安全的角度來看,風險評估是對信息資產(即壹個事件或事物的信息集)的威脅、弱點和影響,以及三者結合帶來風險的可能性的評估。
風險評估作為風險管理的基礎,是組織確定信息安全需求的重要方式,屬於組織信息安全管理體系的規劃過程。