資訊安全相關資源

http://csrc.nist.gov/

資安風險等級評估
為了保證一個系統的安全，你必須要確定這個系統的風險等級。系統的風險等級越高，就越需要保護。你不想把你的資訊安全預算花在保護一個低風險的系統上，你要把資訊安全預算花在高風險的系統上，例如，那些存儲了敏感的用戶資料或者處理金融交易的系統。雖然這些觀點聽起來好像是常識，但是，能夠恰當地評估風險的機構並不多，結果不分青紅皂白地浪費了它們的預算和資源，沒有很好地保護它們最敏感的IT資產，過多地保護了價值很低的資產。