风险评估、分类和缓解

为了在开放与控制以及成本与效益之间取得平衡，网络安全采用了基于风险的方法。在基于风险的方法中，首先要对与使用信息技术资源有关的风险进行评估和分类，然后采取适当的风险缓解策略。

网络安全的风险评估与业务目的密切相关，很少是一个单纯的技术问题：为不同的业务目的使用相同的技术往往会导致不同的风险评估。例如，使用便携式U盘存储演示文稿文件与使用U盘存储学生学业记录的风险可能截然不同。一般来说，风险评估需要对突出的业务或操作问题有很好的了解，并可能不时发生变化。将评估的风险分为不同类别是有用的。

对于学院较为熟悉的常见资讯科技资源，可参考风险分类。由于风险评估与使用目的密切相关，预计在某些情况下参考分类可能并不充分。所有 BIMSA 成员在使用任何信息技术资源之前，必须评估任何相关风险，如有疑问，应始终采用更强的保护措施。