組建適當的評估管理與實施團隊
　　風險評估實施團隊，由管理層、相關業(yè)務骨干、IT技術等人員組成風險評估小組。
　　評估實施團隊應做好評估前的表格、文檔、檢測工具等各項準備工作，進行風險評估技術培訓和保密教育，制定風險評估過程管理相關規(guī)定。
　　進行系統(tǒng)調研；
　　系統(tǒng)調研是確定被評估對象的過程，風險評估小組應進行充分的系統(tǒng)調研，為風險評估依據和方法的選擇、評估內容的實施奠定基礎。
　　調研內容至少應包括：業(yè)務戰(zhàn)略及管理制度；主要的業(yè)務功能和要求；網絡結構與網絡環(huán)境，包括內部連接和外部連接；系統(tǒng)邊界；主要的硬件、軟件；數據和信息；系統(tǒng)和數據的敏感性；支持和使用系統(tǒng)的人員。
　　系統(tǒng)調研可以采取問卷調查、 現(xiàn)場面談相結合的方式進行。