风险评估只是为信息安全活动提供一个方向，并不会导致重大的信息安全改进。不管评估方法有多详细和多专业，也只能描述风险状态，而不会改进机构的安全状态。机构只有利用评估结果持续地进行改进活动，实现风险有效管理，才能使机构的安全状态得到改善。评估好坏的评价标准在于其对随后的风险控制和审核批准的指导作用，良好和确切的风险评估是成功的信息安全风险管理的基础。