为信息安全风险排序

　　面对一组可辨认的运营风险，除了计算你对每个主要风险所具备的风险智商外，还要计算每个主要风险对其他风险的分散作用。因此，你需要培养相关技巧去评估每一个风险及其对净风险的影响。

　　图表《风险业务》用于显示风险组合中的信息安全威胁。圆圈代表一个主要风险或控制风险的项目。圆圈的大小代表对风险带来的最大损失的评估，这个值是扣掉了控制风险成本的净额。

　　横轴表示不同风险的风险智商得分，纵轴表示风险的分散程度。你善于评估且能被其他风险减轻的风险在图表的右上角，你善于评估但不会被其他风险分散的风险在图表右下角。

　　新的风险一般出现在左上角，因为我们通常不擅长评估新近出现的风险。另外，这些风险很容易演变成不为我们熟知的风险。随着这些风险的进一步扩散，它们越来越重要，也越来越不可能被分散。反映在图表上即代表这些风险的圆圈更靠近横轴。

　　如果你对其中的某一风险有更深入的认识，该风险就向右移动。如果你的认识和控制措施消减了该风险，圆圈就升至右上角。如果你决定停止对风险的驱动因素的监控，圆圈就向左移。与之对应，运营风险的轨迹为逆时针变化。注意，该轨迹与新业务中随机项目风险的轨迹很不一样。

　　你如何利用风险智商以及对风险演变的评估，分出众多信息安全风险的主次？

　　如果其他参数一样，最大的圆圈代表最大的风险，因为圆圈的大小代表预计的最大损失扣掉了风险控制成本的净额。

　　但是对最大损失和风险控制的投入的预估并不是工作的全部。我们还要考虑那些风险智高得分很低或者不易分散的风险，它们分别集中在靠近竖轴和靠近横轴的位置。

　　回到图表，你可能会先从“风险4”下手，因为这是个大风险。接着，你可能会转向“风险2”。虽然它看起来是个小风险，但与“风险4”一样无法分散。而且其风险智商得分低，不能确定它到底会带来怎样严重的损失。最后，你可能会着手控制“风险1”，因为其风险智商得分相对较低。

　　总体而言，你要判断风险智商缺口（图中靠左的圆圈）或风险分散缺口（图中靠下的圆圈）是否代表公司面临的主要问题。另外，你还要判断是否要将这两方面的缺口与风险的大小进行比较。