如何鉴别风险
 
　　对安全风险、目标和威胁的鉴别对于安全风险的处理是至关重要的，也是组织应该做到的第一步。风险鉴别阶段不可掉以轻心，且需要由有资历，有知识的安全专业团队作出团结一致的努力。这个团队必须熟悉业务环境，安全标准，业务需求，规程要求和当前的威胁范围。在这个阶段，该团队将确定并验证主要指标以及当前环境下的威胁。讨论每个指标和威胁非常重要，这可以确保它们既代表了每个安全因素，又不至于啰嗦。

　　风险陈述可以在该组织的企业风险管理程序中创建，或者如果没有一个协同的风险程序的话， 就单独创建。该团队必须从根本原因上考虑，而不能只着眼于风险的影响或是降低风险的措施。在团队完成指标、威胁和风险陈述的定义工作后，每一个指标和威胁都将与风险陈述中的一个或多个关联起来。安全陈述、指标和威胁之间的这种联系，使得组织可以分析能力和威胁的变动对风险造成的影响。在这个阶段几次返工也是很常见的。团队为每个安全因素完成了指标和威胁的确定之后，这威胁与保密性，完整性和可用性（CIA）三元组之间的关系也应该就确定了下来。进行风险鉴别这个步骤的目标是为了在各个安全因素之间得到比较平衡的指标和威胁，并明确与安全陈述之间的关系。

　　如何评估风险
 
　　在风险评估阶段，该团队将使用主要指标和威胁作为评分依据。千万谨记，生成结果的那种方法的一致性和团队的专业程度比分数的定义要更为重要。团队必须记录其决策过程，以确保一致性。保持一致性的好处是能够比较过去和现在的评估并分析其趋势。

　　这个阶段的第一步是确定组织在为每个安全因素制定详尽的安全计划这个过程中达到了何种水平的能力。有一个5级能力标准可以运用于这个过程。

　　该团队也将评估每一个安全威胁因素的可能性和影响范围。威胁客户也应和数据资产一起考虑到这部分的得分中。威胁客户是那些可以利用各种威胁资源利用安全弱点的人。实施攻击的企图、能力以及机遇会使得一个人成为威胁客户。潜在的威胁客户可能包括雇员，承包商，前承包商和分包商，维修人员，前雇员，以及未经授权的外部用户。
可能性和影响按三等打分（低，中或高）。对可能性的得分造成影响的有威胁客户的能力、当前采取的控制措施，还有攻击的类型和频率。造成的影响取决于利用安全弱点对资产和组织所造成的损害。衡量损害的方式有崩溃、损失竞争优势，能力和信誉的损失还有资产的重置成本。

　　最后的威胁指数评分计算方法是把可能性分数和影响分数加起来，再为该威胁与保密性，完整性和可用性（CIA）里的每点联系加上一分，最后得到总的威胁指数。如果威胁仅仅是和可用性相关，那这一分就会加到可能性和影响分数里去。如果与CIA三元组里的每一点都有关系，那么就会加上3分。基本安全指数得分最高是9分，最低是3分。威胁评分的计算是了为了解每个安全因素的威胁。能力评分的计算是为了了解每个安全因素里的指标。威胁得分的威胁因子初值是设为1.0，除非该组织认为某种特定的威胁权重要更高一点，才可以给这个威胁因子额外加上0.1到0.5。

　　如何分析和减轻风险

　　这个阶段评估风险识别和评价阶段收集到的信息。分析从查看当前和之前的整体安全处理能力得分和威胁指数得分开始。随着时间的推移，就可以建立起有助于分析的发展趋势图。这一趋势将有助于该组织确定需要完成哪些步骤以提高整体安全状况，减少威胁的影响和可能性，降低该组织面临的风险。应当特别注意威胁指数分数高，能力分数却低的安全因素。这种反差造成更大的业务风险，应当设法降低。

　　最后一步是建立一个风险缓解计划并确保该计划与安全战略计划挂钩。该战略计划和项目所依据的是风险和有针对性的安全指标。减少风险的项目与遵从标准的努力之间的冲突可能会在分析过程中被发现。管理层需要统一这些差异，确定行动方针。分配资源时，最应优先考虑那些有高危漏洞的东西。这些方面需要立即减少风险，以保护企业的利益和任务。我们的目标是尽量减少组织面临的总体风险。

　　减轻风险的计划应包括使能力与风险相当，推荐的控制措施得到实施，确定控制措施的优先次序制，落实所需资源，开始和预计结束日期，以及正在进行的维修和操作要求。理论上说来，应该每个季度进行风险评估以跟踪降低风险计划的进度。风险陈述应该体现客观能力和威胁的趋势。元素那一栏下的颜色表示当前特定元素的风险级别。目标栏下的的颜色（红色，黄色或绿色）表示当前预算周期内，现有能力和目标能力之前的差距。红色箭头表示的消极变化（威胁的增加或能力的降低），白色箭头对应于一个积极的变化。另外还应与安全团队进行讨论，以评估风险是否可能通过目前的项目降低，或者说是否需要作出改变。

　　风险沟通与监测 

　　有知识，有资质的安全专业人员需要定期讨论信息安全风险问题。在有限的资源和预算的情况下，重要的是要确定风险和能降低风险的补充控制措施。应该要做出一份季度风险报告样本来体现这些风险上的变化，并向高管们传达这些变化。。能力级别有三条线。里面那条线（蓝色）表示目前的能力，中间那条线（红色）表示当前预算年内预计的增长能力，还有外面那条线（黑）表示每个安全元素所期望达到的长期能力目标。威胁指数评分显示当前每一个安全因素的威胁。这些图表是在团队输入能力和威胁分数后计算出来的。每个风险陈述（用O1, C1, F1, S1等来标识）和各个安全因素在他们的个人风险评分的基础上被标在了这张风险图上。安全因素线使用的关键指标与能力水平一样。从过去一段时间以来在能力水平、威胁指数分数和风险分数上的变化都在中间的方块中表示了出来。这份风险管理报告很好地概括了当前的风险，趋势和安全计划里的不足，并应当用在有关战略和风险缓解计划的讨论中。

　　风险管理要全面 

　　安全行业需要跳出樊笼思考 ， 采取能降低风险的安全策略，并且还要能直接分辨出哪些降低风险的方法能有效打击对手。仅仅依靠技术或是依靠外围防护，自我假设敌人会被阻挡在外，都是无法解决企业的信息安全问题的。要解决这个问题需要采取全面的安全计划，把风险管理作为整个策略的驱动力。现状已让人不堪忍受 ，我们整个行业必须改变做法 ， 并运用新的思想 ， 如违约假定、积极响应、攻击能力和情报分析，此外还要对我们的对手在风险管理策略中的采用的攻击的攻击媒介和方式进行有针对性的讨论。