如何确定风险等级

如何用安全风险分析来评估可接受的风险等级

时间：2010-05-1413：48来源：michaelcobbtechtarget中国字体：[大中小]

网络风险多种多样。停电可以停掉整个网络，黑客可以入侵服务器，恶意的内部人士可以通过usb盘窃取敏感信息，这些只是些比较明显的例子。潜在的风险太多了，以至于很难确定企业可以承受的风险，不能承受的风险，以及在降低到一个可接受的风险级别时企业可以应付的风险。

要减少停电的风险，我们可以投资一套备用发电机，但是要想降低黑客成功攻入网络的风险应该怎么做了。这个风险永远也不可能完全排除，所以确定将其降低为可接受的风险级别所需花费就很重要了。本指南将介绍如何通过企业安全风险分析来达到这个目的。

在企业中定义一个可接受的风险级别

可接受的风险级别应该由管理层根据业务的法律和监管遵从责任，以及它的风险类型和业务驱动来决定。还应该考虑风险对业务的影响，例如业务收入损失、意外花销，以及风险发生时所带来的生产停滞。信息安全专业人士应该作为风险和管理层之间的媒介，解释潜在的安全风险对业务目标的影响，以便他们在风险和可接受的风险等级之间取得平衡。