適用于所有組織的風(fēng)險(xiǎn)管理原則，無(wú)論其規(guī)模大小。風(fēng)險(xiǎn)管理指南針對(duì)范圍廣泛的組織，從個(gè)體經(jīng)營(yíng)者到大型政府部門。

　　本節(jié)描述一些基本的風(fēng)險(xiǎn)管理原則，這些原則對(duì)于大多數(shù)中小型企業(yè) （SME） 或個(gè)體經(jīng)營(yíng)者來(lái)說(shuō)就足夠了。

　　其他部分描述了更適合大型組織的技術(shù)，這些組織具有復(fù)雜的相互關(guān)聯(lián)的風(fēng)險(xiǎn)和基礎(chǔ)設(shè)施。

　　從網(wǎng)絡(luò)安全基線開(kāi)始

　　如果對(duì)安全控制存在無(wú)能為力的情況，中小企業(yè)應(yīng)采用公認(rèn)的安全控制基線，例如Cyber Essentials 中定義的基線，在我國(guó)則完全可以參考等級(jí)保護(hù)基本要求。這種方法根本不需要任何風(fēng)險(xiǎn)分析，只是應(yīng)用一些基本的安全控制并證明組織認(rèn)真對(duì)待網(wǎng)絡(luò)安全。確保選擇的安全基線考慮到組織必須遵守的任何法律和法規(guī)。在我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)是網(wǎng)絡(luò)安全領(lǐng)域的基本制度，所以網(wǎng)絡(luò)安全等級(jí)保護(hù)根據(jù)保護(hù)級(jí)別，也正對(duì)應(yīng)網(wǎng)絡(luò)安全基線。所謂合規(guī)≠安全，但可以作為一個(gè)好的開(kāi)始。

　　無(wú)論規(guī)模大小所有組織都面臨風(fēng)險(xiǎn)

　　許多網(wǎng)絡(luò)攻擊使用不分青紅皂白的散彈槍方法來(lái)瞄準(zhǔn)受害者。如果是中小企業(yè)或個(gè)體經(jīng)營(yíng)者，那么和大型組織一樣有可能成為這些散彈攻擊的受害者。攻擊者可能不知道（或關(guān)心）您是誰(shuí)，直到他們攻陷您的組織，并在組織中站穩(wěn)腳跟。

　　了解組織自身需要關(guān)心什么，以及為什么

　　網(wǎng)絡(luò)安全既關(guān)乎技術(shù)，也關(guān)乎了解組織如何運(yùn)作?？紤]哪些人員、信息、技術(shù)和業(yè)務(wù)流程對(duì)組織至關(guān)重要。如果不再能夠訪問(wèn)它們（或者如果不再能夠控制它們）會(huì)發(fā)生什么？例如，組織可能能夠在沒(méi)有電子郵件的情況下正常運(yùn)行幾天，但失去客戶關(guān)系管理服務(wù)可能會(huì)阻止完成基本的日常任務(wù)。同樣，某些信息（例如個(gè)人數(shù)據(jù)）必須保密，但其他類型的信息可以在不受任何干擾的情況下發(fā)布。這種基本的了解什么是你應(yīng)該計(jì)較，為什么這很重要，應(yīng)該可以幫助確定最能保護(hù)組織的優(yōu)先級(jí)。

　　想想可能會(huì)受到損害的情況

　　將決策的未來(lái)后果可視化的能力——其中一些無(wú)法輕易預(yù)測(cè)——對(duì)于風(fēng)險(xiǎn)管理至關(guān)重要。無(wú)法探索可能受到損害的所有場(chǎng)景，但不應(yīng)該讓這些影響決策。從做出的決定開(kāi)始，例如在組織中采用特定的密碼策略，并從那里向前推進(jìn)以探索后果，這似乎很自然。但是，從想要避免的結(jié)果開(kāi)始，然后向后工作可能會(huì)更有用。

　　例如，可以想象以下結(jié)果：

　　客戶的個(gè)人資料已被泄露

　　- 并從那里向后工作。因此，在這種情況下，可能會(huì)問(wèn)自己：

　　我們?cè)谛孤┲白龀隽四男Q定，這可能會(huì)加劇局勢(shì)？

　　我們?yōu)槭裁醋龀鲞@些決定？

　　當(dāng)逆向思考工作時(shí)，應(yīng)該清楚地看到，任何負(fù)面結(jié)果都可能以多種方式發(fā)生。所有這些都可以為組織提供有關(guān)如何最好地部署有限網(wǎng)絡(luò)安全資源的寶貴見(jiàn)解，這只是如何使用這些技術(shù)的一個(gè)例子。

　　接受一些風(fēng)險(xiǎn)

　　當(dāng)做出業(yè)務(wù)決策（例如在組織中部署某些新技術(shù)）時(shí)，將不得不接受它可能會(huì)受到攻擊、破壞或以其他方式干擾的某些可能性。我們都會(huì)經(jīng)歷風(fēng)險(xiǎn)，因?yàn)槲磥?lái)是不確定的，網(wǎng)絡(luò)風(fēng)險(xiǎn)也不例外。

　　當(dāng)然并不是說(shuō)可以忽略網(wǎng)絡(luò)風(fēng)險(xiǎn)，而是說(shuō)需要關(guān)注那些你實(shí)際上可以做些什么工作的風(fēng)險(xiǎn)。做到這一點(diǎn)取決于：

　　了解通過(guò)承擔(dān)給定的風(fēng)險(xiǎn)期望獲得什么

　　如果意識(shí)到這種風(fēng)險(xiǎn)會(huì)造成多大的傷害

　　可以花多少錢來(lái)保護(hù)自己

　　這一切都?xì)w結(jié)為判斷。因此，如果有人說(shuō)某個(gè)特定框架或某項(xiàng)安全技術(shù)可以管理“所有網(wǎng)絡(luò)風(fēng)險(xiǎn)”，請(qǐng)對(duì)其所說(shuō)的一切保持謹(jǐn)慎。

　　平衡網(wǎng)絡(luò)風(fēng)險(xiǎn)與其他類型的風(fēng)險(xiǎn)

　　一些安全的措施可以減少一個(gè)類型的風(fēng)險(xiǎn)，而在其他地方增加的風(fēng)險(xiǎn)。

　　例如，假設(shè)希望客戶的在線賬戶安全，因此在網(wǎng)站上引入了強(qiáng)密碼要求?？赡埽ㄒ部赡懿粫?huì)）降低一些風(fēng)險(xiǎn)，但它可能會(huì)帶來(lái)客戶離開(kāi)網(wǎng)站并前往競(jìng)爭(zhēng)對(duì)手（整體用戶體驗(yàn)更好）的新風(fēng)險(xiǎn)。

　　雖然這并不是真正的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但它仍會(huì)影響組織業(yè)務(wù)開(kāi)展，將這兩種風(fēng)險(xiǎn)視為獨(dú)立且不相關(guān)的風(fēng)險(xiǎn)是不現(xiàn)實(shí)的。因此，當(dāng)決定采用安全措施時(shí)，需要衡量各方的影響。

　　向其他組織學(xué)習(xí)安全解決方案

　　造車子很少需要重新發(fā)明輪子，不提倡盲目復(fù)制安全解決方案而不考慮它們?nèi)绾芜m合自己的環(huán)境，但是可以從研究其他組織如何解決與類似的網(wǎng)絡(luò)安全問(wèn)題中學(xué)到很多東西。密切關(guān)注其他組織如何解決安全問(wèn)題。

　　留意網(wǎng)絡(luò)安全神話

　　與大多數(shù)職業(yè)一樣，網(wǎng)絡(luò)安全也有很多神話需要破除。例如，有一種說(shuō)法是，基于云的基礎(chǔ)設(shè)施比使用自己的設(shè)備風(fēng)險(xiǎn)更大。大型且信譽(yù)良好的云服務(wù)提供商通常擁有比大多數(shù)組織能夠負(fù)擔(dān)得起的更強(qiáng)大的安全安排，所以這個(gè)說(shuō)法是欠考慮的。同時(shí)，云也不是靈丹妙藥，仍然需要確保用于訪問(wèn)云服務(wù)的設(shè)備得到適當(dāng)合理保護(hù)。正確的觀點(diǎn)是：網(wǎng)絡(luò)安全在不斷變化，所以要提防懶惰的假設(shè)和不加批判的思維。

　　了解風(fēng)險(xiǎn)管理技術(shù)的優(yōu)缺點(diǎn)

　　風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和框架通常表現(xiàn)為孤立存在，可能會(huì)導(dǎo)致只需要理解和使用一種方法的假象。應(yīng)對(duì)風(fēng)險(xiǎn)的方式有根本上的不同。當(dāng)然，許多組織可能出于實(shí)際原因（例如資源限制）或確保遵守單項(xiàng)立法，而采用單一技術(shù)進(jìn)行風(fēng)險(xiǎn)管理。在這種情況下，需確保了解所應(yīng)用技術(shù)的優(yōu)缺點(diǎn)。