问：风险评估应该包括哪些步骤？
   
　　答：风险评估是个复杂的问题，不是几段话就可以讲清楚的，但是它是信息安全的核心。

　　为了保护系统，你必须决定风险的等级。风险等级越高，就越需要保护。你不想把信息安全的预算花费在保护风险等级不高的系统上，而是想在花在高风险的系统上，那些敏感的客户数据，或者例如，解决金融交易。而这好像是很平常的，很少的公司正确地对IT风险作了评估，最后不加选择的浪费了他们的预算和资源，而大部分的敏感IT资产保护的并不好，而是都用在了价值较低的信息保护上了。

　　概括来讲，风险评估包括对IT架构的三个部分的评估：威胁、漏洞和风险。例如，威胁可以是黑客获得了你的电脑信息数据库的黑客。漏洞是数据库国企了，不再有最新的安全补丁安装。所以，风险可能很高，因为系统没有补丁、网站位于没有防火墙的不受保护的网络上，而且和互联网直接连接。

　　这种情况在拥有经验丰富的安全人员的公司不可能出现，但是仍然证明了一个问题。因为我们知道风险很高，而且非常可能发生，我们知道我们需要减轻控制。我们已经评估了风险而且知道哪里以及如何保护我们脆弱的IT资产。在这种情况下，风险评估告诉我们首先给服务器打补丁，阻止防火墙端口访问服务器，并和互联网断开连接。

　　记住，这不仅是关于IT风险，以及保护服务器和Web网站。危险的IT系统最终会导致数据丢失、储运损耗和恶意使用，所有这些都会破坏业务名誉或者更糟。

　　更多的风险评估的信息，可以访问标准和技术的国家研究所的网站http://csrc.nist.gov。他们的电脑安全资源中心包含广泛使用并由信息安全专家推荐的的风险评估方法。