風(fēng)險的幽靈使得組織別無選擇，只能改善各種網(wǎng)絡(luò)風(fēng)險的總體管理。以下是一個基于信息安全論壇的IRAM2方法論的分步過程，網(wǎng)絡(luò)安全和風(fēng)險從業(yè)者可以利用它來評估和管理信息風(fēng)險。 

第1步：范圍界定練習(xí) 

范圍界定練習(xí)的目標(biāo)是提供一個以業(yè)務(wù)為中心的已識別風(fēng)險視圖。這涉及在業(yè)務(wù)范圍（知識產(chǎn)權(quán)、品牌或聲譽、組織績效）和評估的技術(shù)范圍（信息架構(gòu)、用戶分析、技術(shù)或服務(wù)評估）之間實現(xiàn)利益相關(guān)者的對齊和協(xié)議。

此練習(xí)可以幫助確定哪一方將負責(zé)評估各個風(fēng)險領(lǐng)域以及特定風(fēng)險評估背后的授權(quán)。例如，選擇誰將處理引入新的業(yè)務(wù)服務(wù)或技術(shù)，或解決對業(yè)務(wù)特定領(lǐng)域的管理關(guān)切。 

第2步：業(yè)務(wù)影響評估（BIA） 

BIA用于確定任何信息資產(chǎn)或系統(tǒng)的保密性、可用性或完整性受到損害時可能對業(yè)務(wù)造成的潛在影響。BIA的第一步是識別所有相關(guān)的信息資產(chǎn)，如客戶和財務(wù)數(shù)據(jù)，以及用于服務(wù)和系統(tǒng)運營的信息，在所有環(huán)境和整個信息生命周期（輸入、處理、傳輸、存儲）中。 

一旦資產(chǎn)被識別，就可以為它們分配一個值（排名或優(yōu)先級）。然后，通過比較包含最合理影響的現(xiàn)實情景和每個資產(chǎn)的最壞情況情景，可以確定任何潛在安全事件的程度。 

第3步：威脅分析 

這一階段有助于識別和優(yōu)先排序威脅，并理解它們?nèi)绾物@現(xiàn)。威脅分析從通過與關(guān)鍵利益相關(guān)者的討論和分析可用的威脅情報來源（例如，內(nèi)部威脅情報團隊或外部商業(yè)訂閱）識別潛在相關(guān)威脅開始。 

一旦構(gòu)建了威脅景觀，就應(yīng)對其中的每個威脅進行分析。威脅可以基于兩個關(guān)鍵風(fēng)險因素進行分析：發(fā)起可能性 —— 特定威脅發(fā)起一個或多個威脅事件的可能性，以及威脅強度，或特定威脅有效發(fā)起或執(zhí)行威脅事件的能力。 

威脅還可以通過將它們分為一個總體群體來進一步分析：對立的、偶然的或環(huán)境的。 

第4步：漏洞評估 

完成威脅分析后，下一階段是識別信息資產(chǎn)對每個識別威脅的 

脆弱程度。漏洞評估用于檢查每個關(guān)鍵控制的相關(guān)性程度以及其實施的性能和質(zhì)量。 

每個漏洞都必須被評估，并根據(jù)其控制的相對強度來表達。控制的強度可以基于該控制的利益相關(guān)者評級以及支持信息（如控制特性、性能、缺陷和文檔）來計算。 

在評估結(jié)束時，從業(yè)者將對哪些信息資產(chǎn)對哪些威脅事件脆弱有了堅實的了解。 

第5步：風(fēng)險評估 

通過評估風(fēng)險，組織可以繪制出威脅成功的可能性、最壞情況的業(yè)務(wù)影響會是什么，以及這些如何適應(yīng)它們的整體風(fēng)險管理計劃。 

第一步是為每個風(fēng)險選擇最相關(guān)的影響情景。這意味著在現(xiàn)實結(jié)果（考慮威脅的強度）和最壞情況情景之間做出決定。

其次，至關(guān)重要的是識別可能減少威脅影響的現(xiàn)有或計劃中的控制。像其他控制評估一樣，判斷這些控制減少固有影響的程度是主觀的。這里，風(fēng)險從業(yè)者和關(guān)鍵利益相關(guān)者的經(jīng)驗發(fā)揮了至關(guān)重要的作用。 

第6步：風(fēng)險處理 

這一步探討了管理信息風(fēng)險的各種方法： 

減輕：構(gòu)建更強的防御，改進現(xiàn)有控制并實施新控制以減輕潛在攻擊的影響。 

避免：避免或消除可能觸發(fā)或?qū)е聺撛陲L(fēng)險的任何活動。 

轉(zhuǎn)移：允許另一方承擔(dān)一定級別的風(fēng)險，例如，獲得網(wǎng)絡(luò)保險。 

接受：承認風(fēng)險發(fā)生及其潛在后果的可能性，但基于組織的風(fēng)險容忍度不采取進一步行動。 

風(fēng)險處理應(yīng)由組織的風(fēng)險偏好指導(dǎo)。單獨評估每個風(fēng)險，以確定它是否超出了組織的風(fēng)險容忍度。當(dāng)所有風(fēng)險處理選項都清晰時，創(chuàng)建一個風(fēng)險處理計劃。跟進執(zhí)行計劃并監(jiān)控結(jié)果，以確保風(fēng)險管理工作成功。 

使用風(fēng)險評估的六個步驟 

在第六步結(jié)束時，風(fēng)險評估過程實際上已經(jīng)完成。從業(yè)者對評估環(huán)境有了更好的了解。這包括相關(guān)威脅、相關(guān)漏洞和優(yōu)先排序的風(fēng)險的清晰畫面。已經(jīng)制定并實施了一個風(fēng)險處理計劃，將風(fēng)險降低到可接受的水平。 

重要的是要記住，信息安全的世界是動態(tài)的；威脅事件、漏洞及其對業(yè)務(wù)的影響是流動和演變的。當(dāng)組織或環(huán)境經(jīng)歷重大變化或緩解努力時，從業(yè)者和利益相關(guān)者應(yīng)始終評估風(fēng)險。