企业风险评估，首先应对企业的固有风险进行评估。固有风险是指企业没有采用任何管理措施可能使企业面临的风险。确定对固有风险的反应模式就能够对固有风险采取防范管理措施。其次，管理者应在对固有风险采取相关管理措施的基础上，对企业的残存风险进行评估。残存风险是指管理者采取有关的管理措施后仍旧存在的风险。

　　权衡风险之前，对风险本身的区位要加以确定，这个时候就要针对企业的资源，做出承受风险能力的评估，从而采取相应的措施。风险评估就是对一项不确定性因素的可能性和重要性进行二维的区位分析。本文总结了风险评估的易用框架和评估技巧。

　　词解: 风险评估框架（RAF，risk assessment framework）

　　风险评估框架（RAF，risk assessment framework）是一个策略，用于优先考虑和分享有关信息技术（IT）基础设施安全风险的信息。好的风险评估框架所组织和呈现的信息，技术和非技术人员都可以理解。它有三个重要组成部分：共享的词汇、连贯的评估方法和报告制度。

　　风险评估框架（RAF）可以帮助组织了解哪些系统受滥用或攻击的风险最低和哪些风险最高。风险评估框架提供的数据对积极主动地解决潜在威胁、规划预算和创造一种文化是很有用的，并且数据的价值也被理解和赞赏。

　　简单易用的风险评估框架

　　对于任何规模的企业来说，风险评估是IT安全方面的核心内容。任何一个想进行信息资产（所有现代企业都拥有）保护的中型企业都需要某种形式的风险评估，即使仅仅是一个针对小部分员工而提炼出来的粗略框架。

　　令人高兴的是很多风险评估框架以免费形式存在，可以从网上自由下载、打印和学习，尽管其中有部分会比较晦涩难懂，需要一个顾问团队来提供咨询协助。对于那些相当复杂的框架，也有一些很好的案例能够帮助中型企业将其简化提炼，使之最终适合于自身的情况。

　　员工风险评估：发现高风险员工从而提高安全

　　在当今的信息安全环境中，我们经常听到来自外部攻击者的高级持续威胁。然而，信息安全从业人员还需要担心内部威胁。这种威胁关系到那些能访问组织数据、文件和IT系统的员工、承包商或是分包商，他们可能心怀不满或是感觉“有责任”来偷取有价值的知识产权信息。他们的动机可能有所不同，从政治原因到个人忿怒、或是单纯的贪婪。

　　本文提供了广泛的总结，涉及内部威胁及内部威胁检测最佳方法的关键问题。企业可能需要更新一些公司策略和实践来更好地保护IT系统及知识产权资产。

　　厂商风险评估流程中包括安全了吗？

　　安全仍然是企业IT预算的头号重点和未来规划的重点。但是你了解在评估潜在安全厂商和服务提供商的时候应该问哪些问题吗？。Reymann Group主管安全咨询的CEO Paul Reyman说，很多企业都没有重视审查第三方数据恢复提供商的重要性。

　　了解你的数据恢复提供商的安全性很重要，而同样重要的是了解你所有的（IT和非IT）厂商和服务提供商的安全信息。在保护敏感数据方面，所有的外来者都是潜在威胁。