上一篇的内容，我们知道对于抗风险能力低下的中小企业，也许一次网络攻击，就将面临关门的风险。（戳下面链接看中小企业网络安全怎么搞？（一））

为什么中小企业也要重视网络安全管理？

本系列基于NIST前沿发布的中小企业网络安全标准，一步步告诉中小企业，如何用较低的成本，做成网络安全管理这件大事儿。

本篇内容将探讨中小企业该如何系统的了解自身存在网络安全风险。

风险无处不在，我们每天都要基于风险做出决定。

想象一下我们开车上班要面临哪些风险？也许是堵车，也许是雨雪天气，也许遇到一个“新手上路”，也许遇到车子抛锚、刹车失灵这样的状况…风险数不胜数，其中不乏可能产生严重后果的风险，我们又没有精力面面俱到将他们完全消除，为什么我们还敢开车呢？

因为无形中我们都是做过风险评估和管理的，针对那些重要的风险，采取必要的措施，从而降低风险。

车祸会造成严重影响，但发生概率不高，所以大家会注意系安全带、不在开车时打电话；堵车虽不会威胁生命，但会造成迟到的影响，发生概率很高，所以大家在出行前都会查看路况，选择通畅的道路。

类似的，在公司的网络安全风险管理中，想面面俱到必然投入巨大，这对成本有限的中小企业显然不现实，因此要集中资源去管理较关键的风险，资源用在“刀刃”上。

那么，该如何挑选出对于自己较关键的那几个值得好好管理的安全风险呢？

基本思路是：

请输入图片描述

重要度：代表一种风险的重要程度，值越大，重要度越高，越需要好好管理。

影响：代表风险真的发生了产生影响的程度，仍以开车为例，车祸风险的影响很大，堵车的影响就较小。

可能性：代表风险发生的可能性。

下面，我们用两步来流程化讲解具体如何评估重要度：

请输入图片描述

拿出一张纸写下你在工作中接触到的所有类型的数据（如果觉得自己考虑的不够周全，可以叫上你的项目经理、行政、法律顾问和IT人员共同商讨），针对每类数据，问自己三个问题：

☞ 如果这类数据被公开，会对我的公司产生什么影响？

☞ 如果这类数据出现谬误，会对我的公司产生什么影响？

☞ 如果我或者我的客户无法访问到这个数据，会产生什么影响？

并按照他们影响力等级（低中高）填写下面这个表格：

请输入图片描述

表一：确定某数据类型的影响力等级

数据需要依托硬件存储和软件的处理，因此对于这些硬件和软件，我们也要关注。

实际上，数据并不是集中在一个地方的。比如客户联系方式这一类别的数据，它可能同时存在在客户管理系统中、某些员工的手机或其他设备中，为了统一管理，我们需要在下面这个表中详细的列出来，并给出影响力的评分。

请输入图片描述

表二：从设备的角度评估潜在影响力

请输入图片描述

那么，整理出的这些数据，遭到破坏的可能性有多大呢？中小企业应该根据自身业务特点，总结出一个安全风险与薄弱环节的清单，并根据上一节表二的内容，评估出某数据载体（硬件设备或软件）在发生泄漏、篡改、损坏时的可能性。

请输入图片描述

表三：表二数据遭到各种破坏的可能性

经过以上这两步，我们就可以根据

请输入图片描述

评估出，到底哪些数据是较重要的，非常需要优先考虑保护的。

请输入图片描述

表四：找出较重要的那个风险

在上表中我们可以看到，当影响与可能性双高，优先级高，中小企业应当优先考虑解决这部分的数据防护问题。

还是搞不定？你需要帮助

社会分工的结果让我们可以享受到更多的专业服务，在网络安全领域也不例外，专业的事应该交给专业的人来做。当你了解自己企业面临的网络安全问题后，就可以考虑选择谁来提供服务了。

1、 征求意见。你可以问问你的合作伙伴，相关专业的学者，甚至是看看你欣赏的同行业大佬在用什么产品。

2、 查看往期表现。通常网络安全企业都会在自己的官网展示产品，可以查看一下这家企业经营了多少年，是否在业内活跃，曾经做过什么客户，询问这些用户的使用效果，是否还继续购买该企业的服务

以上，我们利用了一个公式、两个步骤、四个表格找到了对于一个中小企业较应该关注的网络安全环节，并提供了后续挑选服务商的方法。

​