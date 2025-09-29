公司使用网络安全风险评估来识别威胁和漏洞，估计其潜在影响，并确定最关键风险的优先级。

公司如何进行风险评估将取决于框架步骤中定义的优先级、范围和风险承受度。大多数评估将评估以下内容：

威胁是可能破坏 IT 系统、窃取数据或以其他方式危及信息安全的人员和事件。威胁包括蓄意网络攻击（如勒索软件或网络钓鱼）和员工失误（如在不安全的数据库中存储机密信息）。地震和飓风等自然灾害也会威胁信息系统。

漏洞是系统、流程或资产中的缺陷或弱点，威胁可以利用这些缺陷或弱点造成损害。漏洞可能是技术性的，例如配置错误的防火墙会允许恶意软件进入网络，或者黑客可利用操作系统错误来远程接管设备。薄弱的政策和流程也可能产生漏洞，例如宽松的访问控制策略会让人们可访问资产的范围超过他们的需要。

影响是威胁可以对公司造成的影响。网络威胁可能会破坏关键服务，导致停机和收入损失。黑客可能会窃取或破坏敏感数据。骗子可能会利用商业电子邮件入侵攻击，诱骗员工向他们汇款。

威胁的影响可能会蔓延到组织之外。在数据泄露期间个人身份信息 (PII) 被盗的客户也是此次攻击的受害者。

由于很难量化网络安全威胁的确切影响，因此公司通常使用历史趋势和对其他组织的攻击故事等定性数据来估计影响。资产重要性也是一个因素：资产越重要，针对它的攻击成本就越高。

风险衡量潜在威胁影响组织的可能性以及该威胁会造成多大损害。可能发生并可能造成重大损害的威胁风险最高，而不太可能造成轻微损害的威胁风险最小。

在风险分析过程中，公司会考虑多种因素来评估威胁的可能性。现有的安全控制、IT 漏洞的性质以及公司持有的数据类型都会影响威胁的可能性。即使是公司所处行业也会产生不同的影响：X-Force Threat Intelligence 指数发现制造和金融行业的组织比运输和电信行业的组织面临更多的网络攻击。

风险评估可以利用内部数据源，例如安全信息和事件管理 (SIEM) 系统以及外部威胁情报。他们还可能会关注公司供应链中的威胁和漏洞，因为对供应商的攻击可能会影响公司。

通过权衡所有这些因素，公司可以建立其风险概要分析。风险概要分析提供了公司潜在风险的目录，并根据严重程度对风险进行优先级排序。威胁的风险越高，对组织的影响就越大。