確定評估依據(jù)和方法
　　根據(jù)系統(tǒng)調(diào)研結果，確定評估依據(jù)和評估方法。
　　評估依據(jù)包括（但不僅限于）：現(xiàn)有國際標準、國家標準、行業(yè)標準；行業(yè)主管機關的業(yè)務系統(tǒng)的要求和制度；系統(tǒng)安全保護等級要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實時性或性能要求等。
　　據(jù)組織機構自身的業(yè)務特點、信息系統(tǒng)特點，選擇適當?shù)娘L險分析方法并加以明確，如定性風險分析、定量風險分析，或是半定量風險分析。
　　根據(jù)評估依據(jù)，應考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風險計算方法，并依據(jù)業(yè)務實施對系統(tǒng)安全運行的需求，確定相關的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應。