信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應當與組織對信息資產(chǎn)風險的保護需求相一致。由于信息安全是一個動態(tài)的系統(tǒng)工程，企業(yè)應實時對選擇的管制目標和管制措施加以校驗和調(diào)劑，以適應變更了的情況，使企業(yè)的信息安全得到有效、經(jīng)濟、合理的保護。

（4）成立安全管理小組，編制安全基線分析報告

CIO應要根據(jù)安全基線分析報告制定企業(yè)信息安全架構(gòu)，包含成立一支專業(yè)、高效的信息安全管理的隊伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技巧操作兩方面的人員組成。這對建立有效的信息安全是非常有必要的。安全基線分析報告是指應用各種手段從各個層面廣泛收集IT風險狀態(tài)，進行全面、徹底的自我分析與診斷的報告。包含對組織業(yè)務特點、組織文化、安全意識、人員狀態(tài)及信息風險評估的綜合分析，詳細描寫當前企業(yè)的信息安全狀態(tài)，為進一步制定信息安全投資預算打算、信息安全投資回報分析、制定安全政策、引入安全把持措施而供給基礎數(shù)據(jù)。

（5）平衡信息安全架構(gòu)中的風險

有業(yè)內(nèi)人士指出，風險把持是一門系統(tǒng)科學，風險降得越低需要的支出就會越多。因此，企業(yè)需要尋找一個合適的平衡點來保障企業(yè)能夠在可接收的風險范疇內(nèi)支出盡量少的錢。而要想平衡IT架構(gòu)中的安全風險，就必須在信息安全架構(gòu)設計的過程中平衡多種需求，這些需求可能是來自業(yè)務部門，或者來自企業(yè)的方方面面。平衡信息安全架構(gòu)通常需要根據(jù)組成構(gòu)架的每個元素的重要性來斷定如何進行取舍和開發(fā)�；�于此，許多信息安全專家一致認為信息安全架構(gòu)需要從整體安全角度來審閱全部架構(gòu)，以平衡架構(gòu)設計與利用中的安全風險。

總而言之，信息安全是一個相對的概念，安全要挾時時刻刻存在。IT信息的安全涉及方方面面，任何一個處所的疏漏都會成為全部IT治理的致命短板。因此，當沒有建立起信息安全架構(gòu)時，IT治理基本無從談起。IT技巧本身可能是信息安全部系里最不重要的部分，但IT信息安全架構(gòu)卻是重中之重。IT 信息安全架構(gòu)不僅是IT治理的一部份，更是企業(yè)持續(xù)經(jīng)營重要基石。