1、基线

如果一个组织的业务运营不是很复杂，对信息处理和网络的依赖程度不是很高，或者组织的信息系统大多采用通用的、标准化的模型，那么基线风险评估可以直接、简单地达到基本的安全级别，满足组织及其业务环境的所有要求。

2、细节

详细的风险评估需要对资产进行详细的识别和评估，对可能造成风险的威胁和弱点进行评估，并根据风险评估的结果识别和选择安全措施。这种评估方法体现了风险管理的思想，即识别资产的风险，将风险降低到可接受的水平，从而证明管理者采取的安全控制措施是适当的。

3、结合

基线风险评估消耗资源少，周期短，操作简单，但不够准确，适合一般环境评估；详细的风险评估是准确详细的，但是要消耗大量的资源，所以适合在边界严格受限的小范围内进行评估。基于实践，组织大多采用两种评价方法的结合。