信息安全風(fēng)險評估的復(fù)雜程度將取決于風(fēng)險的復(fù)雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應(yīng)當(dāng)與組織對信息資產(chǎn)風(fēng)險的保護需求相一致。由于信息安全是一個動態(tài)的系統(tǒng)工程，企業(yè)應(yīng)實時對選擇的管制目標(biāo)和管制措施加以校驗和調(diào)劑，以適應(yīng)變更了的情況，使企業(yè)的信息安全得到有效、經(jīng)濟、合理的保護。

（4）成立安全管理小組，編制安全基線分析報告

CIO應(yīng)要根據(jù)安全基線分析報告制定企業(yè)信息安全架構(gòu)，包含成立一支專業(yè)、高效的信息安全管理的隊伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技巧操作兩方面的人員組成。這對建立有效的信息安全是非常有必要的。安全基線分析報告是指應(yīng)用各種手段從各個層面廣泛收集IT風(fēng)險狀態(tài)，進行全面、徹底的自我分析與診斷的報告。包含對組織業(yè)務(wù)特點、組織文化、安全意識、人員狀態(tài)及信息風(fēng)險評估的綜合分析，詳細描寫當(dāng)前企業(yè)的信息安全狀態(tài)，為進一步制定信息安全投資預(yù)算打算、信息安全投資回報分析、制定安全政策、引入安全把持措施而供給基礎(chǔ)數(shù)據(jù)。

（5）平衡信息安全架構(gòu)中的風(fēng)險

有業(yè)內(nèi)人士指出，風(fēng)險把持是一門系統(tǒng)科學(xué)，風(fēng)險降得越低需要的支出就會越多。因此，企業(yè)需要尋找一個合適的平衡點來保障企業(yè)能夠在可接收的風(fēng)險范疇內(nèi)支出盡量少的錢。而要想平衡IT架構(gòu)中的安全風(fēng)險，就必須在信息安全架構(gòu)設(shè)計的過程中平衡多種需求，這些需求可能是來自業(yè)務(wù)部門，或者來自企業(yè)的方方面面。平衡信息安全架構(gòu)通常需要根據(jù)組成構(gòu)架的每個元素的重要性來斷定如何進行取舍和開發(fā)。基于此，許多信息安全專家一致認(rèn)為信息安全架構(gòu)需要從整體安全角度來審閱全部架構(gòu)，以平衡架構(gòu)設(shè)計與利用中的安全風(fēng)險。

總而言之，信息安全是一個相對的概念，安全要挾時時刻刻存在。IT信息的安全涉及方方面面，任何一個處所的疏漏都會成為全部IT治理的致命短板。因此，當(dāng)沒有建立起信息安全架構(gòu)時，IT治理基本無從談起。IT技巧本身可能是信息安全部系里最不重要的部分，但IT信息安全架構(gòu)卻是重中之重。IT 信息安全架構(gòu)不僅是IT治理的一部份，更是企業(yè)持續(xù)經(jīng)營重要基石。