进行一次安全风险分析

　　一个企业安全风险分析应该包括以下几步：

　　确定公司资产

　　给每个资产指定一个所有者，并按关键程度进行分级

　　识别每个资产的潜在弱点以及相关的威胁

　　评估特定资产的风险

　　在这个基础上，再找出降低风险的必要措施，并对这些措施进行成本效益分析，以便高级管理层能够决定如何处理每个风险。基于相关的成本和效益，他们有4个选择：

　　1接受风险。

　　2避免风险。

　　3通过实施建议的措施来减轻或者改变风险。

　　4通过购买保险来转移风险。

　　但是，要知道没有什么措施能够完全地消除风险。风险总是会有一些的;回到上面即时通信的例子，即使企业即时通信服务器有增强的安全性，它也不能完全消除恶意软件感染或者数据泄露的风险。最终的目标是使这个“残余风险”在公司所能接受的风险等级内。

　　风险和业务一样总是在变化。例如，如果一个公司决定自己维护它的在线支付系统，这可能就提高了遭受网络攻击的风险，所以就需要更强的防护，以及保护支付系统免受内部威胁的安全规章来把风险降低到可接受的水平。它还会面临额外的风险，即违反支付卡行业数据安全标准(PCI DSS)，这就是为什么风险分析除了业务驱动和目标之外，还必须考虑法规和法规遵从的原因。

　　关于风险会如何变化的一个好例子，就是针对谷歌中国的“Aurora攻击行动”。这些攻击带来的风险使Goolge无法接受，该公司的反应是避免这一风险再提高，即退出中国。尽管这是一个极端的例子，多数公司不太会受到这种程度的攻击，但它还是很完美地诠释了风险承受力能够也应该成为一个决定性因素，不只是在做IT安全和策略决定的时候要考虑到，在确定整个公司的策略的时候也应该考虑到。

　　如你所见，确定一个可接受的风险不是一个一次性工作，它需要在业务活动或者业务所在的环境发生剧变时再次进行。不管这意味着更新规章和培训还是改进安全控制和应变计划，都需要持续地监控风险，以保证风险、安全和盈利能够达到合理的平衡。