另外，越来越高的可视性，以及最近发生的很多安全事件造成的巨大财务影响，都使各类风险管理变成了所有公司都十分关注的紧迫问题。

根据以下所列项目结合企业目前的现状，为自己的企业打分，将总分相加后看看目前企业所处的风险管理阶段。

CIO及决策层及时分析企业经营及管理中各主要因素的变化情况，并评估此等变化对企业的潜在影响：

1.IT基础环境的变化（升级、迁移、更替、维护）

2.业务类型、产品种类、业务流程及环节、管理流程及环节的变化

3.经营战略和管理战略的重要假设前提变化

在管理层的协助下，CIO针对各业务流程、环节和业务活动，设计并运用相关的信息化工具评估分析潜在的经营及管理风险：

1.发现风险

2.确定风险所在的业务及管理环节

3.计量并评估风险的程度

企业是否为每个用户分配相应的账户以及对公司企业的访问权限，并在适当的时候予以删除（例如当员工离开公司后）：

1.能够帮助企业防止非法访问，从而保持信息和应用的完整性

2.跟踪和报告各种访问过程，从而降低未发现安全问题和不遵守法规的风险

决策层应确保就所发现的经营及管理信息风险因素，企业拥有并安排了恰当的信息风险管理负责人和风险管理程序及措施的执行者：

1.具备所需专业知识和技能，在信息风险管理战略的指导下设计及运用风险控制程

序及措施以控制企业经营及管理领域的风险因素

2.能够承担管理和控制重要经营及信息风险的责任，并了解相应的企业内部考评制度

决策层应有效地计量、监控并评估企业针对各项业务及风险所设计地管理和控制程序的实际效率

1.评估企业应用风险管理战略发现风险因素的效果

2.评估企业应用风险控制程序及措施对风险因素进行管理和控制的效果

分值 5～10 初级状态：信息风险管理体系初步建立，但运作并不规范和完整

11～15 确立阶段：信息风险管理体系已经建立书面的定义和规范，并完整地传达给相关人员

16～20 可控阶段：信息风险管理体系运作完全受控，运作效果可以准确评估和度量

21～25 优化阶段：信息风险管理体系已参照最佳管理典范，并建立起体系的自我完善机制 (X229)