風(fēng)險(xiǎn)的幽靈使得組織別無(wú)選擇，只能改善各種網(wǎng)絡(luò)風(fēng)險(xiǎn)的總體管理。以下是一個(gè)基于信息安全論壇的IRAM2方法論的分步過(guò)程，網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)從業(yè)者可以利用它來(lái)評(píng)估和管理信息風(fēng)險(xiǎn)。 

第1步：范圍界定練習(xí) 

范圍界定練習(xí)的目標(biāo)是提供一個(gè)以業(yè)務(wù)為中心的已識(shí)別風(fēng)險(xiǎn)視圖。這涉及在業(yè)務(wù)范圍（知識(shí)產(chǎn)權(quán)、品牌或聲譽(yù)、組織績(jī)效）和評(píng)估的技術(shù)范圍（信息架構(gòu)、用戶分析、技術(shù)或服務(wù)評(píng)估）之間實(shí)現(xiàn)利益相關(guān)者的對(duì)齊和協(xié)議。

此練習(xí)可以幫助確定哪一方將負(fù)責(zé)評(píng)估各個(gè)風(fēng)險(xiǎn)領(lǐng)域以及特定風(fēng)險(xiǎn)評(píng)估背后的授權(quán)。例如，選擇誰(shuí)將處理引入新的業(yè)務(wù)服務(wù)或技術(shù)，或解決對(duì)業(yè)務(wù)特定領(lǐng)域的管理關(guān)切。 

第2步：業(yè)務(wù)影響評(píng)估（BIA） 

BIA用于確定任何信息資產(chǎn)或系統(tǒng)的保密性、可用性或完整性受到損害時(shí)可能對(duì)業(yè)務(wù)造成的潛在影響。BIA的第一步是識(shí)別所有相關(guān)的信息資產(chǎn)，如客戶和財(cái)務(wù)數(shù)據(jù)，以及用于服務(wù)和系統(tǒng)運(yùn)營(yíng)的信息，在所有環(huán)境和整個(gè)信息生命周期（輸入、處理、傳輸、存儲(chǔ)）中。 

一旦資產(chǎn)被識(shí)別，就可以為它們分配一個(gè)值（排名或優(yōu)先級(jí)）。然后，通過(guò)比較包含最合理影響的現(xiàn)實(shí)情景和每個(gè)資產(chǎn)的最壞情況情景，可以確定任何潛在安全事件的程度。 

第3步：威脅分析 

這一階段有助于識(shí)別和優(yōu)先排序威脅，并理解它們?nèi)绾物@現(xiàn)。威脅分析從通過(guò)與關(guān)鍵利益相關(guān)者的討論和分析可用的威脅情報(bào)來(lái)源（例如，內(nèi)部威脅情報(bào)團(tuán)隊(duì)或外部商業(yè)訂閱）識(shí)別潛在相關(guān)威脅開(kāi)始。 

一旦構(gòu)建了威脅景觀，就應(yīng)對(duì)其中的每個(gè)威脅進(jìn)行分析。威脅可以基于兩個(gè)關(guān)鍵風(fēng)險(xiǎn)因素進(jìn)行分析：發(fā)起可能性 —— 特定威脅發(fā)起一個(gè)或多個(gè)威脅事件的可能性，以及威脅強(qiáng)度，或特定威脅有效發(fā)起或執(zhí)行威脅事件的能力。 

威脅還可以通過(guò)將它們分為一個(gè)總體群體來(lái)進(jìn)一步分析：對(duì)立的、偶然的或環(huán)境的。 

第4步：漏洞評(píng)估 

完成威脅分析后，下一階段是識(shí)別信息資產(chǎn)對(duì)每個(gè)識(shí)別威脅的 

脆弱程度。漏洞評(píng)估用于檢查每個(gè)關(guān)鍵控制的相關(guān)性程度以及其實(shí)施的性能和質(zhì)量。 

每個(gè)漏洞都必須被評(píng)估，并根據(jù)其控制的相對(duì)強(qiáng)度來(lái)表達(dá)?？刂频膹?qiáng)度可以基于該控制的利益相關(guān)者評(píng)級(jí)以及支持信息（如控制特性、性能、缺陷和文檔）來(lái)計(jì)算。 

在評(píng)估結(jié)束時(shí)，從業(yè)者將對(duì)哪些信息資產(chǎn)對(duì)哪些威脅事件脆弱有了堅(jiān)實(shí)的了解。 

第5步：風(fēng)險(xiǎn)評(píng)估 

通過(guò)評(píng)估風(fēng)險(xiǎn)，組織可以繪制出威脅成功的可能性、最壞情況的業(yè)務(wù)影響會(huì)是什么，以及這些如何適應(yīng)它們的整體風(fēng)險(xiǎn)管理計(jì)劃。 

第一步是為每個(gè)風(fēng)險(xiǎn)選擇最相關(guān)的影響情景。這意味著在現(xiàn)實(shí)結(jié)果（考慮威脅的強(qiáng)度）和最壞情況情景之間做出決定。

其次，至關(guān)重要的是識(shí)別可能減少威脅影響的現(xiàn)有或計(jì)劃中的控制。像其他控制評(píng)估一樣，判斷這些控制減少固有影響的程度是主觀的。這里，風(fēng)險(xiǎn)從業(yè)者和關(guān)鍵利益相關(guān)者的經(jīng)驗(yàn)發(fā)揮了至關(guān)重要的作用。 

第6步：風(fēng)險(xiǎn)處理 

這一步探討了管理信息風(fēng)險(xiǎn)的各種方法： 

減輕：構(gòu)建更強(qiáng)的防御，改進(jìn)現(xiàn)有控制并實(shí)施新控制以減輕潛在攻擊的影響。 

避免：避免或消除可能觸發(fā)或?qū)е聺撛陲L(fēng)險(xiǎn)的任何活動(dòng)。 

轉(zhuǎn)移：允許另一方承擔(dān)一定級(jí)別的風(fēng)險(xiǎn)，例如，獲得網(wǎng)絡(luò)保險(xiǎn)。 

接受：承認(rèn)風(fēng)險(xiǎn)發(fā)生及其潛在后果的可能性，但基于組織的風(fēng)險(xiǎn)容忍度不采取進(jìn)一步行動(dòng)。 

風(fēng)險(xiǎn)處理應(yīng)由組織的風(fēng)險(xiǎn)偏好指導(dǎo)。單獨(dú)評(píng)估每個(gè)風(fēng)險(xiǎn)，以確定它是否超出了組織的風(fēng)險(xiǎn)容忍度。當(dāng)所有風(fēng)險(xiǎn)處理選項(xiàng)都清晰時(shí)，創(chuàng)建一個(gè)風(fēng)險(xiǎn)處理計(jì)劃。跟進(jìn)執(zhí)行計(jì)劃并監(jiān)控結(jié)果，以確保風(fēng)險(xiǎn)管理工作成功。 

使用風(fēng)險(xiǎn)評(píng)估的六個(gè)步驟 

在第六步結(jié)束時(shí)，風(fēng)險(xiǎn)評(píng)估過(guò)程實(shí)際上已經(jīng)完成。從業(yè)者對(duì)評(píng)估環(huán)境有了更好的了解。這包括相關(guān)威脅、相關(guān)漏洞和優(yōu)先排序的風(fēng)險(xiǎn)的清晰畫(huà)面。已經(jīng)制定并實(shí)施了一個(gè)風(fēng)險(xiǎn)處理計(jì)劃，將風(fēng)險(xiǎn)降低到可接受的水平。 

重要的是要記住，信息安全的世界是動(dòng)態(tài)的；威脅事件、漏洞及其對(duì)業(yè)務(wù)的影響是流動(dòng)和演變的。當(dāng)組織或環(huán)境經(jīng)歷重大變化或緩解努力時(shí)，從業(yè)者和利益相關(guān)者應(yīng)始終評(píng)估風(fēng)險(xiǎn)。