第二步，识别分析风险
　　识别分析风险，使用最多的还是定量和定性分析的方法。
　　定量分析，是一种量化的分析方法，它对构成风险的各个要素和潜在损失赋值，要素包括资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等。当这些风险相关特性都被赋值了，风险评估的整个过程和结果也就被量化了。事实上，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
　　如冰峰咨询顾问在项目中发现，某公司的网络系统的一个重大威胁是断电。一旦断电发生，业务损失程度估算是10%。根据以往经验，每月意外或有意的断电总体时间会在0.5个小时左右，其中发生在上班时间的概率是80%（ARO，年度发生率）。该公司全年业务总额为6000万人民币。基于以上数据，我们可以估算出的ALE（年度损失期望）。
　　即ALE={6000/(235*8)}*(0.5*12)*80%*10%=1.53万，其中，235为每年实际工作天数，8为每天工作时间，12指一年总共有的月份。
　　可以看出，因为断电引起的损失每年会在1.5万左右。而假设一个UPS系统的使用寿命是5年，那么为了避免损失，至少可以拿出5*1.5=7.5万的费用投资。一般而言，这样的投入可以建立一个很好的后备电源系统，不但能符合该公司的需求，也能为其规避风险。
　　通过定量分析可以对安全风险进行准确的分级，但必须是有非常准确的可供参考的数据为前提的。这样的数据是需要长期的统计，所以定量分析所依据的数据的可靠性是很难保证的，这就带来了一定困难。因此，最普遍的做法是定量和定性的配合。
　　定性分析与定量分析的区别在于，不再向资产分配难以确定的财务价值、预期损失和控制成本，取而代之的是计算相对值，如“高”、“中”、“低”等。通过调查表和合作研讨会的组合形式进行风险分析，涉及来自企业内各个部门的人员。操作方法可以多种多样，包括小组讨论、调查问卷、检查列表、人员访谈等。
　　评估人员通常准备好控制措施方案，参与到各个环境，以便各部门考虑成本，最后结果统一分析。定性分析带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例。
　　如，某公司的业务不断扩展，分支机构越来越多。原先使用拨号方式接入公司内部网络系统，是他们主要的方式。这种方式，数据被窃密的可能性处于“低”的相对值，然而对于其业务而言，一旦失密的后果是整体的崩溃，损失会在数千万。那么，此种情况下，投入一个合适的VPN设备值得的。因为，前期该公司已经购入了冰峰的VPN，考虑到引入其他厂商的产品可能存在的风险，他们是乐意在以后的项目中继续和冰峰网络合作。
　　总的来说，分析风险，就是要评估人员凭项目经验，结合两种不同的分析方法，非常精确给出详细的报告。