基本风险评估有许多优点，主要是：
风险评估所需资源最少，简便易实施；
同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。如果一个组织的多个信息安全管理体系在相同的环境里运作，并且业务要求类似，这些控制可以提供一个经济有效的解决方案。
基本风险评估的缺点包括：
安全基线水平难以设置，如果安全水平被设置的太高，就可能需要过多的费用，或产生控制过度的问题；如果水平设置太低，一些系统可能不会得到充分的安全；
管理与安全相关的变更可能有困难。例如，如果一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定困难。详细风险评估的优点主要包括：
可以获得一个更精确的对安全风险的认识，从而可以更为精确地识别出反映组织安全要求的安全水平；
可以从详细的风险评估中获得额外信息，使与组织变革相关的安全管理受益。
详细风险评估的缺点主要是，需要花费相当的时间、精力和技术去获得可行的结果。

所谓适用性声明，是指对适用于组织需要的目标和控制的评述。

即实施安全控制后，仍然存在的安全风险。

安全控制就是保护组织资产、防止威胁、减少脆弱性、限制安全事件影响的一系列安全实践、过程和机制。

所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。

即对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。