评估企业网络风险的6个步骤

范围界定的目的是提供以业务为中心的已识别风险视图，其涉及利益相关者之间就业务范围（知识产权、品牌或声誉、组织绩效）和技术范围（信息架构、用户分析、技术或服务评估）是否达成一致。

此环节可以帮助组织确定哪一方将负责评估各种风险，以及谁该负责特定风险评估背后的任务。

BIA可用于确定信息资产或系统在受到损害时的潜在影响。BIA的第一步是识别所有相关信息资产，如客户和财务数据，以及用于服务和系统运行的信息。

一旦确定了资产，就可以为其确定优先级。然后，通过比较每种资产在受到攻击时的合理影响和最坏情况，可以确定潜在安全事件的破坏程度。

通过与利益相关者的讨论和分析，再加之可用的威胁情报来源，组织就能识别潜在的相关威胁。一旦建立了威胁体系，组织还要分析其中的每个威胁。关于威胁，可以根据两个关键风险因素进行分类：1、发起可能性：特定威胁发起一个或多个威胁事件的可能性；2、威胁强度：即特定威胁发起或执行威胁事件的有效性。

一旦威胁分析完毕，下一阶段是确定信息资产在多大程度上容易受到威胁影响。漏洞评估可用于检查每个关键控制的相关作用，以及其实施时的性能和质量。

组织必须根据每个漏洞的相对控制强度，对其进行评估和表述。控制强度可以根据利益相关者对该控制的评级，以及控制特征、性能、缺陷和文档等支持信息进行计算。

通过评估风险，组织可以绘制出威胁的可能性，以及最坏情况下的业务影响，包括如何将这些影响纳入其整体风险管理计划。

首先是选择每种风险相关的冲击情景。这意味着要在考虑威胁强度的现实结果或最坏情景之间做出决定。其次，确定可能减轻威胁影响的控制措施至关重要。

这一步探索了管理信息风险的各种方法：

1、缓解措施：建立更强大的防御措施，改进现有的控制措施，并实施新的控制措施，以减轻潜在攻击的影响。

2、避免：避免或消除任何可能引发潜在风险的活动。

3、转移：允许另一方承担一定风险，例如购买网络保险。

4、接受：承认风险发生的可能性及其潜在后果，并根据组织的风险承受能力，采取进一步行动。

风险处理应以组织的风险偏好为依据；对每个风险进行单独评估，以确定其是否超过组织的风险承受能力；当所有风险处理方案明确时，制定风险处理计划；贯彻执行计划并监控结果，以确保风险管理工作的成功。

通过以上六个步骤，组织可以有效的评估其内部安全风险态势。而重要的是，要记住信息安全的世界是动态的，威胁事件、漏洞及其对业务的影响是流动并不断发展的。从业人员和利益相关者应始终如一地评估风险，尤其是在组织或环境发生重大变化时。