我确信有很多过程——要搜索的通用术语是“风险分析”或“风险评估”。我最熟悉的过程是NIST所提倡的。

通常，NIST 流程：

• 你的系统是什么——什么是你系统的一部分而不是你系统的一部分

• 你的威胁是什么？什么群体或人，他们追求什么，他们的资源是什么？

• 你的弱点是什么？这些威胁之一可以利用什么？

• 你有什么保护你的漏洞？它有多有效？

• 尽管您进行了控制，但您的漏洞被威胁利用的可能性有多大。

• 如果漏洞被利用会有什么影响？你会失去多少？无论是资产，还是未来赚钱的能力，还是名誉受损

• 结合可能性和影响——如果两者都很高——这是你必须做的清单。如果两者都较低，则您有候选人可以推迟。

• 调查新的保护措施——平衡保护成本与漏洞利用成本，看看是否值得花钱。

为您现在将花钱购买的保护措施制定一个计划。请记住，除了阻止漏洞利用之外，还有其他选择 - 例如，以及防止损失的保险单。

如果您不熟悉它，FAIR（定量风险框架）应该为组织提供执行此操作的工具。
从网站：

信息风险因素分析 (FAIR) 为理解、分析和衡量信息风险提供了一个框架。其结果是更具成本效益的信息风险管理、信息安全专业的更高可信度以及开发信息风险管理科学方法的基础。

FAIR 允许组织：

• 用一种语言谈论他们的风险
• 能够始终如一地研究并将风险应用于任何对象或资产
• 全面查看组织风险
• 使用高级分析框架捍卫或挑战风险确定
• 了解时间和金钱将如何影响他们的安全状况

简而言之，使用 FAIR，您可以生成风险“数字”，它可以是风险的美元（或英镑）值。
然后可以客观地将其与其他风险“比较”，在同等规模上——而不是比较苹果和橙子（或更常见的是苹果和紫色）。

另请注意，这不仅适用于技术或计算机风险......