保护信息资产是信息安全计划的头等要务。但现在没有做到这一点，这要怪业内那些不恰当的策略；而整个行业似乎却满足于目前的策略。我们让供应商和一些条条框框指导我们该如何保护信息资产，而不考虑去分析一下实施我们打算要采用的技术可以把什么风险降到最低。如果我们完全信任了对信息资产保密性、完整性和可用性（CIA）的保护，那么就必须跳出框框花时间来分析风险，并设计可降低其余的风险的安全系统。

　　尽管在周边的安全防护和遵从上投入了大量的资金，但还是有安全漏洞涌现（例如ChoicePoint公司累计总共丢失了超过2亿6000万条记录;光2008年就丢失了3000多万条）。目前用于保护我们信息资产的标准和条例与我们的技术并不相符，也没有充分缓解当前面临的威胁和安全风险。很显然，再多花钱在技术上于事无补，花钱制定治标不治本的条例或计划也同样不起作用。

　　风险处理必须抓住安全这个根本原则，并集成到一个安全计划中，安全计划要综合考虑到业务需要、必要的关注点、当前攻击媒介，还要满足法规和合同的要求。遵从标准和规定有助于确定哪些应该关注，但它不应成为安全计划的推动因素。想解决所有的威胁和弱点是不可能的。减少其余的风险，而非那些陈规陋俗，才应该成为指引开发、评估工作，以及在机构内提高安全实践的驱动因素。

　　各个组织必须遵循风险方法论;我们将在这里介绍一套，这套方法论是作Nova Southeastern大学博士风险管理课程的一部分发展起来的。James F. Broder, George L. Head ,Stephen Horn, Elaine M. Hall, 还有Thomas Peltier 的研究成果也作为方法论发展的一部分进行了探讨。

　　在过去的两年中，这一风险方法论进行了修订，并且在一个私人公司和美国华盛顿大学（University of Washington ）得到了实施 。它现在完全融合到了华盛顿大学的信息安全计划中了。由于成功把业务价值、策略以及运作整合到了华盛顿大学的企业风险管理(ERM)计划里，这一风险方法论最近在华盛顿大学关于企业风险管理 (Enterprise Risk Management ,PACERM)的董事咨询委员会(President's Advisory Committee)上被提了出来。

　　这一方法论是基于我们四年前开发的一套安全框架。这套框架囊括信息安全的方方面面，处理所需的各种安全标准和规定，并且把信息安全整合到了业务策略当中。这个框架的最初设想的提出经历了许多前期工作，包括与几位安全专家探讨，重新检查PCI-DSS, HIPAA, Gramm-Leach Bliley 这些现有的法规和ISO与NIST出台的标准；还审计了十多个公共的、个人的、政府的信息安全计划和实践；并且还把对安全框架的调查作为了理科硕士信息安全计划的一部分。

　　这个项目的目的就是开始出一套可以与信息安全计划相集成的框架，这个信息安全计划要能帮助维护本组织的信息安全行动，表现出达到或者超出“适当关注”原则，并且满足本组织的战略安全的需要。

　　该框架按照战略、战术和运作划分为13个元素。该框架对安全计划来说是不可或缺的，因为需要它来对整个组织进行全盘的清查以找出危险的部分。该框架使得组织有能力修改或增加控制项，并使得风险降低到可接受的范围。它还为组织内的信息安全实践发展、评估和改进提供方向。整个安全计划范围内都必须处处贯彻安全防护的意识，以灵活地应对新的威胁。遵从标准和规程是很重要，但单单是遵守这些规程并不意味着其余的威胁就会减少。

　　综合的风险方法论

　　风险方法论要求每年重复进行自主的质量评估。例如，华盛顿大学就每季度都要完成一次风险评估并把结果报告给安全指导委员会。

　　如果没有一种切实易用的方法，人们往往会推脱或者不去做评估，采取一种被动姿态，或者错误地执行这个过程。风险评估只是对一个时间点的评估，很容易失去时效性。为了有效地减少风险，安全专业人员必须定期评估其组织的安全和风险状态。

　　Jan Emblemsvag 和Lars Endre Kjolstad在《Qualitative Risk Analysis: Some Problems and Remedie》中论述了安全风险评估如何取决于对组织的能力和信息质量的一贯分析，而且分析是在有丰富的知识和有资质的专业人员的前提下进行的。如果没有一个一贯的方法，没有对组织的能力的考量，没有对评估信息的质量进行认真分析，那么质量评定的结果还得打上一个问号。据 《Advances in Statistical Methods for the Health Sciences》的作者Ruth Hauser, Eric Breidenbach 和 Katharina Stark说，即使质量评定有局限，他们依旧可以为风险决策提供足够的、其它方法所无法取得的信息。

　　评估方法是基于一个前提，即风险的数量是取决于组织保护信息资产免受威胁的能力有多强。下面这个公式可以体现出这点：随着组织保护信息资产的能力提升，或者组织所面临的威胁减少，整体的风险分数就要降低。计算风险分数需要组织基于全面的安全要素框架评估他们的能力和威胁。必须为每个安全因素都确定关键指标和威胁，这样才能对能力和威胁的可能性、影响进行评估。

　　这一风险方法论可以把信息安全计划集成到组织的企业风险管理（enterprise risk management ERM）计划中。这是通过确定风险陈述和指标以及各个安全因素内的威胁来确定的。风险声明被归为四个方面，包括：

• 合规（未能遵循法律，法规，合同协议，标准，或组织的策略）；
• 财务（亏损的实物资产或财政资源）；
• 运作（影响正在进行的管理程序）；
• 战略（影响到能否实现目的或目标） 。

　　指标、威胁和风险声明之间的关系使得组织能够从风险因素的角度和企业风险管理的角度同时对风险进行评估和检查。这确保了定性风险评估所需的一贯的自顶向下或自底。这个图表显示了企业风险管理和这个框架之间的关系和框架。