对于上了oa办公系统的组织单位而言，如何利用各种安全技术将信息系统面临的风险控制在可接受的范围内，是保证企业办公自动化信息系统处于较高安全水平的关键。而信息安全风险评估，则是控制风险，安全管理信息系统的一个较好解决方法。
　　1.什么是信息安全风险评估
      所谓信息安全风险评估， 就是依照国家有关信息安全技术标准，从风险管理的角度，运用定性、定量的科学分析方法和手段，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性进行科学评价的过程，它系统的分析评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后产生的负面影响， 并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
      2.信息安全风险评估的形式
      oa办公系统信息安全风险评估主要包括自评估和检查评估两种形式。自评估是指各信息系统使用单位发起的对本单位信息系统进行的安全信息风险评估。检查评估是指由保密部门或信息系统使用单位的主管部门发起的安全信息风险评估。自评估的优点是可经常实施，能够及时发现问题并做出整改；缺点是客观性、公正性比较差，评估水平比较低；检测评估的优点是专业机构实施，能够保证客观性和公正性，评估的水平较高；缺点是受各种条件制约不能经常实施。我们应把两者结合起来将自评估作为风险评估的主要方式经常实施，并把检测评估作为风险评估的重要手段定期进行。
      3.信息安全风险评估的作用意义
      通过进行风险评估工作，运用专门的技术手段和检测设备，可以及时发现信息安全可能存在的各种问题，找到解决问题的方法，及早化解风险，提高信息安全性。风险评估是信息安全建设的基础和起点，只有对系统信息安全进行正确而全面的风险评估后，才能够在控制风险、减少风险、转移风险之间做出正确的判断，采取适当的措施去化解、控制风险。
     （三）企业办公自动化oa办公系统信息安全风险评估的现状分析
      企业办公自动化的信息系统涉及到了企业安全生产的问题，属于涉密信息系统。加之目前我国的信息化建设在关键技术、关键设备上还受制于人。因而企业办公自动化的信息安全防护工作还任重道远，只有认真分析企业办公自动化在安全风险评估方面的状况，才能更好的依靠信息安全风险评估为信息安全建设打下坚实基础。
      目前企业办公自动化的信息安全风险评估还存在着一些问题，主要体现在以下几点：
      第一，对风险评估的重要性认识不够，防护手段单一，认为只要有了防火墙、杀毒软件等安全防护产品就够了；
      第二，基本没有进行过自评估，不能及时发现系统存在的隐患；
      第三，缺乏风险评估方面的专门人才；
      第四，即使对风险评估有一定认识，但由于标准技术的滞后，无法做出规范有效的评估；
      第五，风险评估的角色、责任混乱；第六，有些企业虽然进行了风险评估，但在风险评估结束后没有对评估结果采取任何对策，仅仅是为了评估而评估。