ISO27001認證網絡信息安全風險評價，是執行風險評價的前提條件，以便確保評定全過程的可操控性及其評定結果的普遍性，在網絡信息安全風險評價執行前要開展充足的提前準備。

(1)明確評定目標明確風險評價的總體目標，為網絡信息安全風險評價的全過程出示導向性。網絡信息安全要求是一個機構為確保其業務流程一切正常、合理運行而務必做到的網絡信息安全規定，根據剖析機構務必合乎的有關相關法律法規、機構在工作流程中對網絡信息安全等的安全性、一致性、易用性等層面的要求，來明確網絡信息安全險評定的總體目標。

(2)明確評定范疇明確的ISO27001網絡信息安全風險評價將會只對于機構所有財產的一個非空子集，評定范疇務必確立。敘述范疇最重要的是針對評定界限的敘述。評定的范疇可能是單獨系統軟件或是是好幾個關系的系統軟件比較好的方式 是依照物理學界限和邏輯性界限來敘述一次風險評價的范疇。

(3)建立評定精英團隊創立專業的評定精英團隊承擔實際實行機構的網絡信息安全風險評價。精英團隊組員應包含評定企業領導干部、評定權威專家、技術專家，還應當包含高管、各個部門、人力資源管理、IT系統和來源于客戶的意味著。

(4)開展系統軟件調查系統軟件調查是明確被評定目標的全過程。開展充足的系統軟件調查是為網絡信息安全風險評價根據和方式 的挑選、評定內容的執行打下基礎。調研內容最少應包含業務流程發展戰略及管理方案、關鍵的業務流程作用和規定；網絡架構與網絡空間，包含內部聯接和外界聯接、系統軟件界限；關鍵的硬件配置、手機軟件：數據信息和信息內容、統和數據信息的敏感度；適用和應用系統軟件的工作人員。

(5)明確評定根據和方式 評定根據包含目前國際性或相關法律法規網絡信息安全規范、機構的制造行業主管部門的業務管理系統的規定和規章制度、機構的信息管理系統互連企業的安全性規定、機構的信息管理系統自身的實用性或特性規定等。依據網絡信息安全評定風險性根據，綜合性考慮到網絡信息安全評定的目地、范疇、時間、實際效果、評定員工素質等要素，挑選實際的風險性計算方式，并根據機構業務流程執行對系統優化運作的要求，明確有關的評定剡斷根據，使之可以與機構環境和安全性規定相一致。

(6)制訂評定計劃方案評定計劃方案的內容一般包含精英團隊機構（評定精英團隊組員、組織架構、人物角色、義務等）、工作規劃（各環節的工作職責、工作中方式、工作成效等）、及其項目實施的時間進度分配等。

(7)得到最大管理人員的適用由于評定必須資金和人力資源的適用，高管務必說明對評定主題活動的適用，對資源配制作出服務承諾，并對網絡信息安全風險評價工作組授予充足的支配權，網絡信息安全風險評價主題活動才可以順利開展。

在搞好風險評價的準備工作以后，還必須對公司的當今的網絡信息安全系統軟件開展財產鑒別、威協鑒別和易損性鑒別。值得一提的是，公司假如要確保評定全過程如期完成而且風險評價結果真實可信，最重要的一點是要最先對于公司的網絡信息安全管理方面制訂一個風險評價對策。好的風險評價對策是風險評價實體模型是不是設計方案取得成功的重要，另外，一個好的風險評價對策必須包含公司網絡信息安全風險性造成的誘因及其開展風險評價實際操作的范疇和目地。