信息系統安全風險評估從信息系統擁有者的角度來看可劃分為三種形式，即自我評估、委托評估和檢查評估。

　　1、自我評估

　　自我評估是指信息系統擁有者指定的本機構信息系統安全管理人員，在信息系統運行維護中使用相應的安全風險評估工具，按照一定的規范進行的評估活動。從信息系統擁有者的角度來看是完全主動的行為，其優點是可方便地進行經常性的評估，及時采取對策降低安全風險，是一種“自查自糾”的方式。這種方式因為在一個機構內部進行，因此一般不會引入評估帶來的心的風險。缺點是專業性和客觀性稍差。

　　2、委托評估

　　委托評估是信息系統擁有者選擇委托具有相應資質的評估單位，按照一定的規范信息系統進行獨立的評估活動。從信息系統擁有者的角度來看是完全自愿的，并具有一定的選擇性。其優點是專業性、公正性和客觀性較強。需注意：對于評估可能引入的信新風險，要加強控制。

　　3、檢查評估

　　檢查評估，是信息系統擁有者的上級機關，或國家賦予信息安全管理職能機關授權的評估單位根據一定的管理權限和程序，按照一定的規范對信息系統進行的獨立的評估活動。其優點是專業性、公正性、客觀性較強，一般也不會引入評估帶來的新的風險。從不同的角度來看，對信息系統安全風險評估可以有不同的劃分形式。

　　對于涉密信息系統而言，安全風險評估主要有兩種形式，即自我評估和檢查評估。一般意義上的委托評估從保密管理的要求來看是不適用于涉密信息系統。

　　自我評估是信息系統擁有者主要進行的日常的評估，是涉密保障涉密信息系統日常安全的重要手段。因此，在國家保密局指導和相關保密標準的指引下，各部門各單位對所擁有的涉密信息系統進行自我評估應成為安全風險評估的主要方式。

　　檢查評估是國家保密局授權的，經中央批準成立的專門評估機構-國家保密局涉密信息系統安全保密測評中心實施的。可以在已建涉密信息系統安全改進方案設計之前進行，作為方案設計的依據；可以在已建涉密信息系統審批運行之前進行，作為保密局審批的依據；也可以在已建涉密信息系統開通運行一段時間之后進行，作為控制新的安全風險的依據。

　　重視信息系統安全風險評估是信息化比較發達國家的基本經驗。我國當前高度重視信息系統安全風險評估的工作。涉密信息系統的安全風險評估已經進行了一些有益的實踐，并奠定了良好的工作基礎。但還存在著一些問題需要加以解決，如建立完善的工作機制、提高評估能力和技術水平等。只要我們認識明確、措施得力，實實在在的推進涉密信息系統安全風險評估這項工作，我國涉密信息系統的安全保障能力將會提高到一個新的水平。