風險的幽靈使得組織別無選擇，只能改善各種網絡風險的總體管理。以下是一個基于信息安全論壇的IRAM2方法論的分步過程，網絡安全和風險從業者可以利用它來評估和管理信息風險。

　　第1步：范圍界定練習

　　范圍界定練習的目標是提供一個以業務為中心的已識別風險視圖。這涉及在業務范圍(知識產權、品牌或聲譽、組織績效)和評估的技術范圍(信息架構、用戶分析、技術或服務評估)之間實現利益相關者的對齊和協議。

　　此練習可以幫助確定哪一方將負責評估各個風險領域以及特定風險評估背后的授權。例如，選擇誰將處理引入新的業務服務或技術，或解決對業務特定領域的管理關切。

　　第2步：業務影響評估(BIA)

　　BIA用于確定任何信息資產或系統的保密性、可用性或完整性受到損害時可能對業務造成的潛在影響。BIA的第一步是識別所有相關的信息資產，如客戶和財務數據，以及用于服務和系統運營的信息，在所有環境和整個信息生命周期(輸入、處理、傳輸、存儲)中。

　　一旦資產被識別，就可以為它們分配一個值(排名或優先級)。然后，通過比較包含最合理影響的現實情景和每個資產的最壞情況情景，可以確定任何潛在安全事件的程度。

　　第3步：威脅分析

　　這一階段有助于識別和優先排序威脅，并理解它們如何顯現。威脅分析從通過與關鍵利益相關者的討論和分析可用的威脅情報來源(例如，內部威脅情報團隊或外部商業訂閱)識別潛在相關威脅開始。

　　一旦構建了威脅景觀，就應對其中的每個威脅進行分析。威脅可以基于兩個關鍵風險因素進行分析：發起可能性 —— 特定威脅發起一個或多個威脅事件的可能性，以及威脅強度，或特定威脅有效發起或執行威脅事件的能力。

　　威脅還可以通過將它們分為一個總體群體來進一步分析：對立的、偶然的或環境的。

　　第4步：漏洞評估

　　完成威脅分析后，下一階段是識別信息資產對每個識別威脅的

　　脆弱程度。漏洞評估用于檢查每個關鍵控制的相關性程度以及其實施的性能和質量。

　　每個漏洞都必須被評估，并根據其控制的相對強度來表達。控制的強度可以基于該控制的利益相關者評級以及支持信息(如控制特性、性能、缺陷和文檔)來計算。

　　在評估結束時，從業者將對哪些信息資產對哪些威脅事件脆弱有了堅實的了解。

　　第5步：風險評估

　　通過評估風險，組織可以繪制出威脅成功的可能性、最壞情況的業務影響會是什么，以及這些如何適應它們的整體風險管理計劃。

　　第一步是為每個風險選擇最相關的影響情景。這意味著在現實結果(考慮威脅的強度)和最壞情況情景之間做出決定。

　　其次，至關重要的是識別可能減少威脅影響的現有或計劃中的控制。像其他控制評估一樣，判斷這些控制減少固有影響的程度是主觀的。這里，風險從業者和關鍵利益相關者的經驗發揮了至關重要的作用。

　　第6步：風險處理

　　這一步探討了管理信息風險的各種方法：

　　減輕：構建更強的防御，改進現有控制并實施新控制以減輕潛在攻擊的影響。

　　避免：避免或消除可能觸發或導致潛在風險的任何活動。

　　轉移：允許另一方承擔一定級別的風險，例如，獲得網絡保險。

　　接受：承認風險發生及其潛在后果的可能性，但基于組織的風險容忍度不采取進一步行動。

　　風險處理應由組織的風險偏好指導。單獨評估每個風險，以確定它是否超出了組織的風險容忍度。當所有風險處理選項都清晰時，創建一個風險處理計劃。跟進執行計劃并監控結果，以確保風險管理工作成功。

　　使用風險評估的六個步驟

　　在第六步結束時，風險評估過程實際上已經完成。從業者對評估環境有了更好的了解。這包括相關威脅、相關漏洞和優先排序的風險的清晰畫面。已經制定并實施了一個風險處理計劃，將風險降低到可接受的水平。

　　重要的是要記住，信息安全的世界是動態的;威脅事件、漏洞及其對業務的影響是流動和演變的。當組織或環境經歷重大變化或緩解努力時，從業者和利益相關者應始終評估風險。