IT 安全评估是一种风险评估。这是通常的过程：

1. 确定评估的范围以及对目标重要的信息资产。
2. 对目标的技术安全性进行分析，例如通过网络攻击、物理渗透等。
3. 如果在范围内，请对目标当前拥有的安全策略进行分析。
4. 如果在范围内，对目标的人类安全进行分析，例如通过社会工程。
5. 使用适当的风险分类框架将这些分析的结果编译成报告。

这绝不是详尽无遗的，内部三个任务的顺序是任意的。

通用风险评估和 IT 风险评估之间的区别在于，后者并不是真正可以限定的东西——就像问水果和苹果之间的区别一样。

如果您专门查看 ISO27000 标准，这些只是一种强制执行和标准化特定实践代码和一组分析任务的方法，以证明组织已对特定级别进行了安全风险评估。它们不会改变风险评估的基本框架，它们只是为您提供一组您必须执行的最低要求。

首先，您应该知道 ISO27000 系列标准并不专门针对 IT。根据您在开始时定义的范围，您的风险分析还可以涵盖公司的各种活动。当然，由于重点是管理信息的安全性，因此有很多推荐的控制措施确实与 IT 有关。

也就是说，该标准规定您必须对您的资产进行风险分析，但很少说明您应该如何做。该方法是您可以自由定义的东西。大多数时候，您不想重新发明轮子并使用一些已知的方法，但选择权在您手中。通常，这是识别您的资产及其对您的价值的问题，然后是对这些资产的各种威胁以及这些威胁可能利用的漏洞。

因此，您无法真正将在建立 ISMS（根据 ISO27001）过程中进行的风险分析与特定类型的风险分析进行比较。如果你愿意，这有点像你问砌墙和砌砖有什么区别。

然而，标准确实说的是您的风险分析应该是可重复的，因此如果由例如两个不同的人进行，它应该给出相同的结果。从这个意义上说，你的方法越精确越好。

在 IT 安全范围内，定量风险分析是通过开发一个严格的数学模型来表示风险的期望定义或风险的某些方面来完成的。使用开发的模型评估（例如网络的）安全性。

这种方法的一个例子是使用攻击图的定量分析对企业网络进行风险分析。