A、根据威胁的属性判断安全事件发生的可能性。

B、对信息资产进行识别并对资产的价值进行赋值。

C、根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

D、对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值。