（一）定性风险评估

主观概率

由于项目的一次性和***性，不同项目的风险往往存在差别。因此，项目管理者在很多情况下要根据自己的经验，去测度项目风险事件发生的概率或概率分布，这样得到的项目风险概率被称为主观概率。因此，项目管理者在很多情况下要根据自己的经验，去测度项目风险事件发生的概率或概率分布，这样得到的项目风险概率被称为主观概率。主观概率的大小常常根据人们长期积累的经验、对项目活动及其有关风险事件的了解而估计。

风险事件后果的估计

风险事故造成的损失大小要从三个方面来衡量：风险损失的性质、风险损失范围的大小和风险损失的时间分布。

(二)定量风险评估

定量风险评估包括访谈法、盈亏平衡分析、敏感性分析、决策树分析和非肯定型决策分析。

风险评估的基本流程包括：风险识别、风险分析、风险评价，这三项内容一般表述为由前至后的三个步骤，但这三个步骤顺序却不是一成不变的，我们可以根据情况需要对这三个步骤进行重新组合。另外，识别、分析、评价，这是一个通用的评估基本流程，是风险管理工作的一部分。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。可以嵌入任何一个有风险存在或分析问题的管理环境中。

一个好的项目风险评估策略，应当包括下列所示的内容：确定项目风险评估的范围和目的。确定项目风险评估的范围也就是指指i定具体的评估对象和评估项目，风险评估的目的就是指此次风险评估要达到的期望值。风险评估的目的和范围是相辅相成的，只有指i定了评估对象中评估项目的风险评估目的，才知道需要什么样的评估任务来达到这个目的，也就圈定了具体的评估范围。风险的大小是由两个方面决定的，一是风险发生的可能性，另一个是风险发生后对项目目标所造成的危害程度，对这两方面，可以用一些定性的描述词分别进行描述，如“非常高的”、“高的”、“适度的”、“低的”和“非常低的”等。也只有确定了风险评估的范围和目的，我们的风险评估才能有的放矢地进行。