要完全确定地评估网络风险十分困难。公司很少能够全面了解网络犯罪分子的策略、自身的网络漏洞或恶劣天气和员工疏忽等更不可预测的风险。另外，相同类型的网络攻击可能会在公司之间产生不同的后果。根据 IBM 数据泄露成本报告，医疗保健行业的数据泄露平均造成 1,010 万美元的损失，而酒店业的数据泄露造成的损失为 290 万美元。

出于这些原因，美国国家标准技术学会 (NIST) 等权威机构建议将网络风险管理视为一个持续、迭代的过程，而不是一次性事件。定期重新审视网络风险管理流程，使公司能够整合新信息，并对更广泛的威胁态势和自身 IT 系统的新演变做出响应。

为确保风险决策考虑到整个组织的优先事项和经验，这一过程通常由多个利益相关方共同参与。网络风险管理团队可能包括董事、首席执行官和首席信息安全官 (CISO) 等执行领导、IT 和安全团队成员、法律和人力资源以及其他业务部门的代表。

公司可以使用许多网络风险管理方法，包括 NIST 网络安全框架 (NIST CSF) 和 NIST 风险管理框架 (NIST RMF)。虽然这些方法略有不同，但都遵循一套相似的核心步骤。

风险框架是一种界定风险决策背景的行为。通过从一开始就确定风险，企业就能使其风险管理战略与整体业务战略保持一致。这种一致性有助于避免无效且代价高昂的错误，例如部署干扰关键业务功能的控制措施。

为了界定风险，公司定义了以下内容：

该流程的范围：将检查哪些系统和资产？将关注哪些类型的威胁？该流程的工作时间线是什么（例如，未来六个月的风险、明年的风险等）？

资产清单和优先级排序：网络中有哪些数据、设备、软件和其他资产？这些资产中哪些对组织最重要？

组织资源和优先事项：哪些 IT 系统和业务流程最重要？公司将为网络风险管理投入哪些资金和其他资源？

法律和监管要求：公司必须遵守哪些法律、标准或其他规定？

这些要求和其他考虑因素为公司做出风险决策时提供了一般指导。它们还帮助公司定义其风险承受度，即可以接受的风险类型和不能接受的风险类型。

公司使用网络安全风险评估来识别威胁和漏洞，估计其潜在影响，并确定最关键风险的优先级。

公司如何进行风险评估将取决于框架步骤中定义的优先级、范围和风险承受度。大多数评估将评估以下内容：

威胁是可能破坏 IT 系统、窃取数据或以其他方式危及信息安全的人员和事件。威胁包括蓄意网络攻击（如勒索软件或网络钓鱼）和员工失误（如在不安全的数据库中存储机密信息）。地震和飓风等自然灾害也会威胁信息系统。

漏洞是系统、流程或资产中的缺陷或弱点，威胁可以利用这些缺陷或弱点造成损害。漏洞可能是技术性的，例如配置错误的防火墙会允许恶意软件进入网络，或者黑客可利用操作系统错误来远程接管设备。薄弱的政策和流程也可能产生漏洞，例如宽松的访问控制策略会让人们可访问资产的范围超过他们的需要。

影响是威胁可以对公司造成的影响。网络威胁可能会破坏关键服务，导致停机和收入损失。黑客可能会窃取或破坏敏感数据。骗子可能会利用商业电子邮件入侵攻击，诱骗员工向他们汇款。

威胁的影响可能会蔓延到组织之外。在数据泄露期间个人身份信息 (PII) 被盗的客户也是此次攻击的受害者。

由于很难量化网络安全威胁的确切影响，因此公司通常使用历史趋势和对其他组织的攻击故事等定性数据来估计影响。资产重要性也是一个因素：资产越重要，针对它的攻击成本就越高。

风险衡量潜在威胁影响组织的可能性以及该威胁会造成多大损害。可能发生并可能造成重大损害的威胁风险最高，而不太可能造成轻微损害的威胁风险最小。

在风险分析过程中，公司会考虑多种因素来评估威胁的可能性。现有的安全控制、IT 漏洞的性质以及公司持有的数据类型都会影响威胁的可能性。即使是公司所处行业也会产生不同的影响：X-Force Threat Intelligence 指数发现制造和金融行业的组织比运输和电信行业的组织面临更多的网络攻击。

风险评估可以利用内部数据源，例如安全信息和事件管理 (SIEM) 系统以及外部威胁情报。他们还可能会关注公司供应链中的威胁和漏洞，因为对供应商的攻击可能会影响公司。

通过权衡所有这些因素，公司可以建立其风险概要分析。风险概要分析提供了公司潜在风险的目录，并根据严重程度对风险进行优先级排序。威胁的风险越高，对组织的影响就越大。

组织监控其新的安全控制措施，以验证它们是否按预期工作并满足相关的监管要求。

组织还监控更广泛的威胁态势和自己的 IT 生态系统。任何一个方面的变化（新威胁的出现、新 IT 资产的添加）都可能会出现新的漏洞或使以前有效的控制措施变得过时。通过保持持续的监控，公司可以近乎实时地调整其网络安全计划和风险管理策略。