美国国家标准与技术研究院(NIST)制定了网络安全框架，使用作为一套指导方针，基于提供了组织可以在其网络安全工作中使用的风险法识结果
。NIST分类包括识别、别网保护 、络安检测、全风响应和恢复 。使用

Pondurance公司是基于一家管理检测和响应服务提供商，拥有全天候安全运营中心 ，风险法识其服务线与这五个类别保持一致 。别网这样
，络安组织就可以很容易地了解服务线可以做什么，全风以及Pondurance公司如何围绕它们开发一个整体计划 。使用Pondurance认为，基于您的免费模板风险法识网络安全方法应该与组织的目标、结果和风险保持一致  ，使基于风险的网络安全方法成为防范网络威胁的最佳策略 。

在最近的一次网络研讨会上 ，Pondurance公司首席信息安全官兼服务副总裁DustinHutchison讨论了Pondurance基于风险的网络安全方法 。基于风险的方法侧重于组织的特定网络风险，并考虑组织想要实现的目标和需要保护的内容。模板下载他定义了术语，并讨论了五个类别中每个类别所涉及的步骤
。他回顾Dustin对识别类别的解释，其中包括对资产和风险进行优先级排序 。

为了防止网络攻击，组织需要识别其每个数字资产。毕竟，在保护这些资产免受网络攻击之前 ，组织必须知道它拥有哪些资产 。特别是必须了解IT库存 ，对资产进行分类，并知道关键数据所在的位置 。服务器租用

一旦您的组织对资产进行了优先级排序，您将需要对风险进行优先级排序 。没有一家公司可以消除所有的风险，但你可以专注于减少风险的地方。问问你自己，你的组织愿意承担什么样的风险 ，什么样的风险会给你的组织带来最大的风险，什么样的风险需要最多的保护。

为了定义风险，Dustin使用了“风险=可能性x影响”的公式 ，这意味着风险的变化取决于攻击发生时的可能性和影响程度。风险可以通过对安全、收入、声誉 、法规遵从性和其他因素的影响来衡量
 。然而，并非所有的风险都是平等的。达斯汀用一个医院的例子来说明，在不同的情况下 ，风险什么时候高 ，当对病人的潜在影响更大时
，风险就会增加 。

在对风险进行优先级排序时
，执行风险评估是在威胁参与者之前主动发现漏洞和弱点的最佳方法。Pondurance使用风险评估和网络风险管理工具(如MyCyberScorecard)来准确衡量和优先考虑风险 。风险评估分析您的整个网络 ，以确定组织容易受到攻击的地方
 。达斯汀强调，一个组织永远不可能只做一次风险评估，因为不幸的是，网络环境在不断发展和变化。新的风险总是存在的 。

在考虑了所有网络风险的优先级之后 ，Pondurance可以继续与组织合作 ，按照重要性对风险进行排序
，首先预防当前问题，然后提供持续的解决方案。这个排名提供了一个指导方针，说明如何向前推进 ，并就在何处分配资源以获得最大效果做出明智的决定。

基于风险的方法使组织的网络安全工作与其目标 、结果和风险保持一致，以提供可用于抵御网络威胁的最佳策略。识别资产和风险并对其进行优先排序是该策略的第一步。