首先，风险评估是信息系统安全的基础性工作。它是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。持续的风险评估工作可以成为检查信息系统本身安全保密状况的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。

其次，风险评估是分级保护和突出重点的具体体现。安全是风险与成本的综合平衡。要从实际出发，坚持分级保护、突出重点，就必须正确地评估风险，以便采取有效、科学、客观和经济的措施。

第三，加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作，并通过法规、标准手段加以保障，逐步形成横跨立法、行政、司法的完整的信息安全管理体系。结合我国的现实国情，现阶段为加强宏观信息安全管理，促进信息安全保障体系建设，必须加强风险评估工作，并逐步使风险评估工作朝着制度化的方向发展。