信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)當(dāng)與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，企業(yè)應(yīng)實(shí)時(shí)對(duì)選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)劑，以適應(yīng)變更了的情況，使企業(yè)的信息安全得到有效、經(jīng)濟(jì)、合理的保護(hù)。

（4）成立安全管理小組，編制安全基線分析報(bào)告

CIO應(yīng)要根據(jù)安全基線分析報(bào)告制定企業(yè)信息安全架構(gòu)，包含成立一支專業(yè)、高效的信息安全管理的隊(duì)伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技巧操作兩方面的人員組成。這對(duì)建立有效的信息安全是非常有必要的。安全基線分析報(bào)告是指應(yīng)用各種手段從各個(gè)層面廣泛收集IT風(fēng)險(xiǎn)狀態(tài)，進(jìn)行全面、徹底的自我分析與診斷的報(bào)告。包含對(duì)組織業(yè)務(wù)特點(diǎn)、組織文化、安全意識(shí)、人員狀態(tài)及信息風(fēng)險(xiǎn)評(píng)估的綜合分析，詳細(xì)描寫(xiě)當(dāng)前企業(yè)的信息安全狀態(tài)，為進(jìn)一步制定信息安全投資預(yù)算打算、信息安全投資回報(bào)分析、制定安全政策、引入安全把持措施而供給基礎(chǔ)數(shù)據(jù)。

（5）平衡信息安全架構(gòu)中的風(fēng)險(xiǎn)

有業(yè)內(nèi)人士指出，風(fēng)險(xiǎn)把持是一門系統(tǒng)科學(xué)，風(fēng)險(xiǎn)降得越低需要的支出就會(huì)越多。因此，企業(yè)需要尋找一個(gè)合適的平衡點(diǎn)來(lái)保障企業(yè)能夠在可接收的風(fēng)險(xiǎn)范疇內(nèi)支出盡量少的錢。而要想平衡IT架構(gòu)中的安全風(fēng)險(xiǎn)，就必須在信息安全架構(gòu)設(shè)計(jì)的過(guò)程中平衡多種需求，這些需求可能是來(lái)自業(yè)務(wù)部門，或者來(lái)自企業(yè)的方方面面。平衡信息安全架構(gòu)通常需要根據(jù)組成構(gòu)架的每個(gè)元素的重要性來(lái)斷定如何進(jìn)行取舍和開(kāi)發(fā)�；�于此，許多信息安全專家一致認(rèn)為信息安全架構(gòu)需要從整體安全角度來(lái)審閱全部架構(gòu)，以平衡架構(gòu)設(shè)計(jì)與利用中的安全風(fēng)險(xiǎn)。

總而言之，信息安全是一個(gè)相對(duì)的概念，安全要挾時(shí)時(shí)刻刻存在。IT信息的安全涉及方方面面，任何一個(gè)處所的疏漏都會(huì)成為全部IT治理的致命短板。因此，當(dāng)沒(méi)有建立起信息安全架構(gòu)時(shí)，IT治理基本無(wú)從談起。IT技巧本身可能是信息安全部系里最不重要的部分，但I(xiàn)T信息安全架構(gòu)卻是重中之重。IT 信息安全架構(gòu)不僅是IT治理的一部份，更是企業(yè)持續(xù)經(jīng)營(yíng)重要基石。