中小型企业面临着与许多大型企业所面临的相同的信息安全风险。最近Gawker Media公司的数据违规事件证明，即使是中小型企业，也可能成为有针对性的高精密攻击的受害者。因此，无论企业规模大小，都应当遵循一种安全风险评估过程，来的识别、分类和降低风险。

　　“问题是：大多数中小型企业没有时间、资源或金钱聘请顾问进行风险评估。”—— Robbie Higgins， GlassHouse科技公司

　　有很多很好的书、白皮书、框架和方法论，都在突出强调一些必要措施，来帮助企业确保他们有一个健全的信息安全风险管理计划。除了这些印刷出来的材料，还有许多企业愿意和你一起通过IT安全风险评估过程帮助您衡量、减少你的风险和风险暴露程度。但问题是：大多数中小型企业没有时间、资源或金钱聘请顾问进行风险评估和制定风险管理计划。

　　那么，中小企业应该如何制定自己的风险管理计划呢？我建议按照以下步骤一步步了解IT资产可能会在何处暴露风险，然后制定计划堵上这些风险漏洞。

　　1、评估信息和基础设施的范围

　　在这第一步中，您要识别您的信息系统的范围，包括硬件、软件资源，以及构成您的系统环境的数据。识别基础设施时，重要的是把关注点放在关键系统上（计费系统，CRM客户关系管理系统，HR人力资源系统，法律系统，knowledge repository知识仓库系统等）。识别数据时，重点要放在“关注的数据”上，包括个人身份信息，人力资源数据，知识产权等。

　　2、了解安全威胁和漏洞

　　重新审查你的企业所面临的安全威胁 （这些安全威胁可能会因你的地理位置和所处行业有所不同）。安全威胁是某种特定威胁资源成功地利用系统某个脆弱方面进行攻击的一种潜力。所以，列出你的系统环境中硬件和软件的脆弱方面，并考虑有意和无意的安全威胁。例如，无意威胁可能是不正确的数据输入，而故意的威胁，可能是通过网络或恶意的软件上传进行的有针对性的攻击。这一步骤的成果应该是一个列满其相关弱项或漏洞的安全威胁的清单。

　　3、估计影响

　　在这一步中需要预测，如果每一潜在的安全威胁实际发生了，由此而产生的不利影响。安全事件的不利影响可以被描述为损失或下降，或结合以下三个安全目标进行描述：

• 一致性
• 可用性
• 保密性

　　记住这些目标，然后按影响程度进行分类。分类方法之一是按照“高、中、低”进行分类，高代表有直接并很重要的业务影响，代表低相对有限的影响。

　　4、确定风险

　　根据如下几点确定某个特定的威胁/漏洞的风险：

• 威胁源成功利用漏洞的可能性
• 威胁源成功利用漏洞的影响程度
• 现有安全控制机制对减少、减轻或消除风险的适合度

　　在这个阶段，你应该制作一个风险级别矩阵来展现风险及其影响程度关系（影响程度分类参见你在第3步做好的分类）。同样，你可以按照“高、中、低”进行分类。而且你也可以以一个3x3矩阵作为简单的出发点，来研究安全威胁风险和安全威胁影响之间的关系。如图1中的样例矩阵包括安全威胁的例子，可能产生的影响及威胁分类。此矩阵将作为你IT安全风险评估报告的基础。

图1  风险矩阵范例

　　虽然这个矩阵不很全面，但我确实发现一些公司进行了这样的安全风险评估过程，以帮助了解IT风险和脆弱处。

　　5、计划的控制

　　在这最后一步，概述为减轻或消除所确定的风险，而可能进行的控制措施。所建议的控制措施的目标应该旨在将IT环境的风险水平降低到一个可以接受的水平。控制措施的范围可以是人，政策或流程的变化，还可以是新配置，采购或新技术的实施。

　　以上这五个步骤，将帮你完成一个基本的IT安全风险评估过程。别忘了将你的成果与你的组织中的主要决策者一起分享。

　　他们可以在业务决策中协助优先考虑你计划的控制措施，把风险降低到可接受的水平。虽然IT和信息安全专业人员可以提供解决方案，来降低风险，但最终无可或缺的，商业决定，而不是信息技术/信息安全的决定。

　　作者简介：Robbie Higgins是GlassHouse 科技公司的安全事务副总裁。