在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。

风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者*的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，风险投资评估报告机构，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估(Baseline Risk Asses*ent)就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。

采用基线风险评估，组织根据自己的实际情况(所在行业、业务环境与性质等)，对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距)，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到yi定的安全防护水平。组织可以根据以下资源来选择安全基线:

1.深入地进行市场分析、预测。调查和预测拟建项目产品在国内、国际市场的供需情况和销售价格;研究产品的目标市场，分析市场占有率;研究确定市场，主要是产品竞争对手和自身竞争力的优势、劣势，以及产品的营销策略，并研究确定主要市场风险和风险程度。

2.对资源开发项目要深入研究确定资源的可利用量，资源的自然品质，资源的赋存条件和开发利用价值。

3.深入进行项目建设方案设计，包括:项目的建设规模与产品方案、工程选址、工艺技术方案和主要设备方案、主要原/辅助材料、环境影响问题、项目建成投产及生产经营的组织机构与人力资源配置、项目进度计划、所需投资进行详细估算、*分析、财务分析、国民经济评价、社会评价、项目不确定性分析、风险分析、综合评价等等。