6.  風險分析

在完成了資產識別、威脅識別、脆弱性識別、已有安全措施確認，以及確定風險分析方法后，將采用已確定的風險分析方法與工具，來分析威脅利用脆弱性導致安全事件發生的可能性，并綜合安全事件所作用的資產價值及脆弱性的嚴重程度，分析安全事件造成的損失對組織的影響，即安全風險。風險計算原理，可以用下面的范式形式化地加以說明：

風險值=R (A，T，V)=R(L(T，V)，F(Ia，Va))

其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件的可F}生；F表示安全事件發生后造成的損失。

1)計算安全事件發生的可船陛

根據威脅出現頻率及脆弱性的狀況，計算威脅利用脆弱性導致安全事件發生的可能性，即：安全事件的可能}生：L（威脅出現頻率，脆弱性）=L (T，V)。

在具體評估中，應綜合攻擊者技術能力（專業技術程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操作知識公開程度等）、資產吸引力等因素來判斷安全事件發生的可能性。