有了文件之後，就要填寫資料

其中風險評鑑是一個至關重要的內容，確保機關的資訊資產得到適當的保護。以下是這一流程的概述

1. 資訊資產盤點：
   首先，我們需要確認與記錄所有的資訊資產。這包括了硬體、軟體、數據、人力資源以及其他與資訊處理相關的資產。盤點的目的是要確認哪些資產是至關重要的，以及它們所面臨的潛在威脅和弱點。

2. 資產分級：
   一旦我們完成了資訊資產的盤點，接下來就是為它們對於CIA進行價值判斷，判斷後進行分級。建議可以使用「普、中、高」三級的評分制度：

普：這是最基本的分級，用於那些不涉及個人資料的資產。
中：若資產中包含個人資料，則提升其風險等級。因為這些資訊若外洩，將對個人和機關造成更大的損害。
高：這是最高的風險等級，主要用於國家級的關鍵資訊設施。由於其重要性，建議在評估和保護這些資產時與資安顧問合作，確保採取了所有必要的預防措施。

3. 風險評鑑：
   在資產分級之後，我們需要評估各種可能的威脅和弱點，並根據其可能造成的損害和可能發生的概率來評估相關風險。風險評鑑不僅要考慮技術性的威脅，還要考慮如人為疏失、自然災害等其他因素。進行風險評鑑後，我們可以確定哪些風險是可以接受的，哪些需要採取措施進行減輕。

透過上述的三步驟，機關或企業可以有系統地識別、評估並處理資安風險，從而確保其資訊資產得到適當的保護

評鑑後就要針對較高風險的資產進行風險處理

也就是看要怎麼降低風險

風險評鑑是一個主觀的部分，也因此在沒經驗的情況下，建議在資產盤點後，資產分級核心系統與其邊界評為中，其餘系統評為普。

邊界就是該系統會碰觸到的例如防火牆、虛擬主機叢集...等