上一篇的內容，我們知道對于抗風險能力低下的中小企業，也許一次網絡攻擊，就將面臨關門的風險。（戳下面鏈接看中小企業網絡安全怎么搞？（一））

為什么中小企業也要重視網絡安全管理？

本系列基于NIST前沿發布的中小企業網絡安全標準，一步步告訴中小企業，如何用較低的成本，做成網絡安全管理這件大事兒。

本篇內容將探討中小企業該如何系統的了解自身存在網絡安全風險。

風險無處不在，我們每天都要基于風險做出決定。

想象一下我們開車上班要面臨哪些風險？也許是堵車，也許是雨雪天氣，也許遇到一個“新手上路”，也許遇到車子拋錨、剎車失靈這樣的狀況…風險數不勝數，其中不乏可能產生嚴重后果的風險，我們又沒有精力面面俱到將他們完全消除，為什么我們還敢開車呢？

因為無形中我們都是做過風險評估和管理的，針對那些重要的風險，采取必要的措施，從而降低風險。

車禍會造成嚴重影響，但發生概率不高，所以大家會注意系安全帶、不在開車時打電話；堵車雖不會威脅生命，但會造成遲到的影響，發生概率很高，所以大家在出行前都會查看路況，選擇通暢的道路。

類似的，在公司的網絡安全風險管理中，想面面俱到必然投入巨大，這對成本有限的中小企業顯然不現實，因此要集中資源去管理較關鍵的風險，資源用在“刀刃”上。

那么，該如何挑選出對于自己較關鍵的那幾個值得好好管理的安全風險呢？

基本思路是：

請輸入圖片描述

重要度：代表一種風險的重要程度，值越大，重要度越高，越需要好好管理。

影響：代表風險真的發生了產生影響的程度，仍以開車為例，車禍風險的影響很大，堵車的影響就較小。

可能性：代表風險發生的可能性。

下面，我們用兩步來流程化講解具體如何評估重要度：

請輸入圖片描述

拿出一張紙寫下你在工作中接觸到的所有類型的數據（如果覺得自己考慮的不夠周全，可以叫上你的項目經理、行政、法律顧問和IT人員共同商討），針對每類數據，問自己三個問題：

? 如果這類數據被公開，會對我的公司產生什么影響？

? 如果這類數據出現謬誤，會對我的公司產生什么影響？

? 如果我或者我的客戶無法訪問到這個數據，會產生什么影響？

并按照他們影響力等級（低中高）填寫下面這個表格：

請輸入圖片描述

表一：確定某數據類型的影響力等級

數據需要依托硬件存儲和軟件的處理，因此對于這些硬件和軟件，我們也要關注。

實際上，數據并不是集中在一個地方的。比如客戶聯系方式這一類別的數據，它可能同時存在在客戶管理系統中、某些員工的手機或其他設備中，為了統一管理，我們需要在下面這個表中詳細的列出來，并給出影響力的評分。

請輸入圖片描述

表二：從設備的角度評估潛在影響力

請輸入圖片描述

那么，整理出的這些數據，遭到破壞的可能性有多大呢？中小企業應該根據自身業務特點，總結出一個安全風險與薄弱環節的清單，并根據上一節表二的內容，評估出某數據載體（硬件設備或軟件）在發生泄漏、篡改、損壞時的可能性。

請輸入圖片描述

表三：表二數據遭到各種破壞的可能性

經過以上這兩步，我們就可以根據

請輸入圖片描述

評估出，到底哪些數據是較重要的，非常需要優先考慮保護的。

請輸入圖片描述

表四：找出較重要的那個風險

在上表中我們可以看到，當影響與可能性雙高，優先級高，中小企業應當優先考慮解決這部分的數據防護問題。

還是搞不定？你需要幫助

社會分工的結果讓我們可以享受到更多的專業服務，在網絡安全領域也不例外，專業的事應該交給專業的人來做。當你了解自己企業面臨的網絡安全問題后，就可以考慮選擇誰來提供服務了。

1、 征求意見。你可以問問你的合作伙伴，相關專業的學者，甚至是看看你欣賞的同行業大佬在用什么產品。

2、 查看往期表現。通常網絡安全企業都會在自己的官網展示產品，可以查看一下這家企業經營了多少年，是否在業內活躍，曾經做過什么客戶，詢問這些用戶的使用效果，是否還繼續購買該企業的服務

以上，我們利用了一個公式、兩個步驟、四個表格找到了對于一個中小企業較應該關注的網絡安全環節，并提供了后續挑選服務商的方法。

?