平衡应对措施的成本和收益的工作在风险分析中是特别重要的行为。风险分析的目的是识别资产、对这些资产的威胁以及威胁造成的企业的可能损失，还有最后，如何对可能的损失作出响应。风险分析过程包括五个步骤。

　　首先，企业必须为信息资产分派价值。价值可以基于替换成本（如果资产是硬件），或者基于重建或恢复的成本（如果是软件资产或者数据）。还要考虑资产的使用方法。例如，两台笔记本电脑的成本都是1000美元，但是一个只存储销售代表的邮件，相对另一个属于CFO，包含未泄露得金融数据的笔记本电脑的价值就要小很多。企业还应该考虑安全泄露对客户声誉以及企业品牌产生的影响。当然，这些比较难测量，但是应该考虑到所有的成本， 而不仅仅是那些可以轻易量度的。

　　第二步是评估每次风险带来的可能损失。这包括：

• 从恶意攻击恢复的成本，包括损失的生产员工和IT员工的时间。
• 从DoS攻击恢复的成本，保罗更改防火墙、IPS和其他网络资产来防御将来的工程攻击的成本。
• 在安全泄露暴露的敏感信息而违反机密和隐私协议的惩罚的成本。
• 受攻击者攻击的不可恢复的系统造成的收益损失。

　　有了这些信息，你就可以评估单次损失的价值，或者从单次事故中恢复的成本。

　　下一步是要求对每种类型的风险的可能性的评估。例如，根据过去的经验，企业可以估算到每年将会发生一次重大的恶意攻击，而安全泄露事件中信息损失每年可能发生两次。每年的一次恶意攻击的成本（也就是年预期损失——ALE）是从恶意事故中恢复的损失；每年的信息损失是单次事故成本的两倍。

　　这些成本应该根据在防御这些威胁成为现实的应对措施上支出而提供一个最大值。成本低于ALE的应对措施应该采用，以减轻企业想要减少的风险。可能会出现这种情况：企业愿意接受风险，因为风险的可能性很低或者减轻风险的成本很高。或者，企业可以通过购买保险转嫁风险。

　　都取决于有形资产和无形资产的精确价值，其中无形资产可以使客户的意愿，它对精确的评估或者安全资源相对于错误资产滞后的风险很重要。风险评估和恰当的应对措施是资产保护生命周期中重要的组成部分。通过理解和每套资产相关的风险、价值、以及保护资产的成本，企业就可以在安全实践方面做出理智而有效的选择了。在信息资产保护到位并且也选择了恰当的应对措施后，就应该详细说明策略和程序，来把这些决策付诸实践。