网络风险多种多样：停电可以停掉整个网络，黑客可以入侵服务器，恶意的内部人士可以通过USB盘窃取敏感信息，这些只是些比较明显的例子。潜在的风险太多了，以至于很难确定企业可以承受的风险，不能承受的风险，以及在降低到一个可接受的风险级别时企业可以应付的风险。

　　要减少停电的风险，我们可以投资一套备用发电机，但是要想降低黑客成功攻入网络的风险应该怎么做了?这个风险永远也不可能完全排除，所以确定将其降低为可接受的风险级别所需花费就很重要了。本指南将介绍如何通过企业安全风险分析来达到这个目的。

　　在企业中定义一个可接受的风险级别

　　可接受的风险级别应该由管理层根据业务的法律和监管遵从责任，以及它的风险类型和业务驱动来决定。还应该考虑风险对业务的影响，例如业务收入损失、意外花销，以及风险发生时所带来的生产停滞。信息安全专业人士应该作为风险和管理层之间的媒介，解释潜在的安全风险对业务目标的影响，以便他们在风险和可接受的风险等级之间取得平衡。

　　例如，即时通讯可以给特定的业务带来巨大的生产力，但是它也为病毒和恶意软件敞开了大门。定性和定量分析可以比较即时通讯的业务价值和病毒感染造成的成本以及降低病毒风险的企业即时通讯服务器的成本。

　　但是如果即时通信的风险迅速增长该怎么办?这个时候，使用即时通信的企业就需要重新评估继续使用即时通信是否在它可以接受的风险等级之内。如果不是，他们要决定是禁用它、增加额外的安全控制还是简单地做员工安全意识培训。每个企业都有自己的度量风险的方法和公式，但是评估特定风险的决策过程都应该从安全风险评估开始。