现状调查与风险评估的主要工作任务：
□ 对组织信息安全管理现状进行全面系统的调查，为风险评估提供充分的信息；
□ 识别信息资产；
□ 信息资产估价；
□ 威胁、薄弱点的识别与评价；
□ 现有安全控制的确认；
□ 安全风险测量及优先等级的确定。
风险评估时应考虑以下因素：
□ 信息资产及其价值；
□  对这些资产的威胁，以及它们发生的可能性；
□ 薄弱点；
□ 已有的安全控制措施；
□  在进行风险评估时，应考虑以下对应关系：
-  每一项资产可能面临多个威胁；
-  威胁的来源可能不只一个，应从人员（包括内部与外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑；
- 每一威胁可能利用一个或数个薄弱点。
企业在选择风险评估方法时，应考虑以下内容
组织可以选择不同的风险评估方法，每一种方法都有其优点和不足，在平衡考虑选择哪种评估方法时组织应该考虑：
□ 组织的业务背景；
□ 该业务的性质和重要程度；
□  组织业务、业务支持系统、应用程序和服务的复杂程度；
□ 组织业务对该信息新系统的依赖程度；
□  组织业务合作伙伴的多少、外部业务和合同关系；
□  对这个信息系统投入成本的高低，即为了开发、维护或替换这个信息系统及其资产的成本，这也是一个机构为它直接赋予的价值。
    这些因素存在于每一种业务中，在选择评估方法是应该参照这些因素考虑各种方法的优点和不足。通常来说越重要、越关键、一旦发生灾难带来的损失越大的业务，组织应该为其安全投入更多的时间和资源。
现状调查与风险评估的工作流程：
□ 准备工作阶段：确定信息安全管理体系的范围，成立风险评估小组，制定风险评估计划，确定风险评估的方法与工具；
□ 现状调查：对组织的业务运作流程、安全管理机构、资产情况、信息系统网络拓扑结构、安全控制情况、法律法规适用与执行情况进行调查；
□ 列出与信息有关的资产清单，并对每一项资产估价；
□ 识别出资产所面临的威胁及其发生的可能性与潜在影响评价；
□ 识别出被威胁所利用的薄弱点并对其被利用的难易程度进行评价；
□ 对现有的安全控制措施进行确认；
□ 进行风险大小测量并确定优先控制等级；
□ 风险评估结果的评审与批准；
□ 编制适用的法律法规清单并对其符合性进行评估；
□ 结果分析与评价，主要任务是对调查结果进行分析，找出信息安全管理方面的缺陷及组织存在的信息安全风险，明确信息安全要求，选择适当的控制方式予以实施，将风险降低到可接受的水平。