USE企业风险自评框架是将该框架中关注的三个元素的英文首字母组合而成，即User，用户； System,系统； Environmental，环境。

USE企业风险自评框架将企业所有风险的业源归究于这三个核心元素的失察。换句话说，任何一个安全事件的发生，多数是由于这三个核心要素中的一个、两个或三个出问题造成的。

所以在企业在信息安全治理过程中，可以使用该框架来进行风险的自评，查找企业潜在的安全风险。这其实是一个由体到面，再到点的思维过程。我们通过关注这三个核心要素的风险控制情况来管理企业信息安全风险，这就是USE企业风险自评框架的核心要义。

框架目前只对USE三点进行框定，其他内部内容用户都可以自行补充。USE三个面组成一个体，其中的每个面都可以分别三个小步骤。整体框概要图如下：

1.1 关注用户（User）的不安全行为（Behavior）

人是信息安全控制中最大的变量。因此，我将思考人的行为放在整个思考框架的第一位。每一个管理者在开展业务，上线系统，指派任务时都应该考虑都人的个体差异性。任何时候管好人都是企业信息管理的第一职责。

在用户的不安全行为识别时，我们将用户分为两大类，管理员用户和普通用户，这两类用户在信息系统使用中分别对应前台和后台，风险的关注点也有所不同，我们将其分开；再将普通用户细分为内部用户和外部用户两类，内部用户主要是企业自己的员工，外部用户就是企业所服务的对象，这两类用户所接触到的数据和信息的重要性，敏感程度不尽相同，我们也将进行划分。如下图：

管理员用户具有较高的系统权限，其可以系统中进行风险比较高的行为，如使用特权账号，进行数据拷贝，业务系统变更等等。如下图：

内部用户行为识别，由于内部人员往往数量较大，我们可以从其职责或信息系统使用行为方面来进行行为识别。关注内部工作人员的行为，可以有效防止数据泄露的风险。这方面手段的建立，对试图窃取企业数据的员工造成一种威慑。对数据的泄露可以有效进行管控，也对后期数据泄露后的追责提供依据。我们看到近年来大型的数据泄露事件多与内部员工有关系，如德勤的用户资料泄露。

这里人员管理主要是涉及到人员录用，培训教育，辞退等一系列工作，防止录用不合格的员工或者商业间谍。

外部用户行为识别可以简单的分为两大类，业务行为和其他行为，打开“门”做生意，自然会遇到各种各样的人，做最坏的打算，往往能帮助度过企业不可预期的风险。因此，在为用户服务的同时，应该做好面对别有用心用户的识别和防范。如下图

我们从每一类用户对应的行为出发，就可以识别出这一行为有可能会产生的风险，从体到面，再到点的思维方式可以避免我们的思考产生盲区。

管理员用户风险识别，管理员用户可以系统上进行一些高危操作，所以对其进行风险识别时，应尽可能的详细。常见的有特权账户滥用，数据篡改、窃取、非法拷贝，不正确的操作或误操作等。携程网数据被删，阿里云业务中断这些安全事件的背后都是对管理员行为的失察造成的。如下图：

内部用户风险识别，如下图：

外部用户风险识别，如下图：

1.2 关注系统（System）的不安全状态（Status）

关注系统的不安全状态最大的一个挑战是识别系统，也就是识别资产。在很多企业中，资产的维护分散在不同的部门，安全部门并没有一个完整和系统或资产清单。在这种情况下，就如同牧羊人不知道自己有多少只羊，自然就管理不好羊群了。所以这一步，是企业安全治理过程中必须迈出的坚实一步。随着虚拟化技术的出现，系统管理将会带来更大的挑战，所以这部分功课，不管企业落下多久，都需要及时补上。

系统的不安全状态，框架中大致分为了三类，使用技术的不安全性导致系统处于不安全状态， 管理控制不安全导致系统处于不安全状态中，物理安全管控不到位导致系统处于不安全有状态之下；

使用技术的不安全性导致系统处于不安全状态，分为新技术的使用导致的不安全和系统本身的原因引起的不安全。一些新兴技术的兴起和使用可以对原本的系统状态发生变更而导致不安全性。如在没有云计算技术之前，数据处理时使用中大型机，不用考虑数据一致性的问题，因为数据就一份。但在云计算环境中，数据一致性问题就不得不考虑，因为它分布式存在多个数据副本，每一个副本很有可能不一样。系统自身的不安全状态有漏洞未及时得到修复，服务器未进行加固或安装了恶意的应用程序，或者已经遭受到了攻击而被控制。如图：

管理上的不安全导致系统处于不安全状态情形常见的上线管理、变更控制、运维管理以及系统下线退役制度的缺失而迫使系统由安全变为不安全。如变更控制中缺少变更后安全验证环节，让一个得到加固，安全上线的系统，随着变更，慢慢变得千疮百孔。

物理安全导致系统处于不安全状态的情形最好理解，为什么机房要上锁就是这个道理，如果把服务器放在操作上肯定是有问题。

其中重点要说明的是入侵检测系统，国内多数企业机房设置有访问控制设施，但在未经批准的情形下进入机房操作的情况时有发生。某企业就因为UPS巡检，未得到批准进入机房，操作失误造成UPS短路，机房停电近3个小时。因此，物理环境的入侵检测手段是十分必要的，其很有可能在你不知情的情况下将系统置于十分危险的状态之下。

系统不安全状态的治理和企业信息安全需要不断提升和优化的工作，其工作内容会随着系统规模的变化、技术的发展而不断变化，大家可以根据企业实际情况，对框架内容进行不断的丰富。

根据识别出的导致系统处于不安全状态因素进行逐项风险识别。也可以对某一大项进行整体风险识别。

1.3 关注环境（Environmental）的不安全因素（Factors）

企业和人一样，是社会关系的集合和产物，因此不可能脱立于现实环境而存在。企业安全建设和规划，更不能不考虑当前信息安全的环境，因此，企业信息安全规划的第三个因素就是环境。

环境分析中，可以将环境大致分为内部环境和外部环境两类，外部环境着眼于安全领域内的大趋势和大环境，着眼于宏观层面。内部环境，关注自己企业安全内部环境治理，从微观层面洞察企业安全风险。如图：

外部环境中不安全因素的识别，主要是站在旁观者的视角，来观察企业，或者企业想知道自己的安全状况从攻击者来看是什么水平或状态。例如外部合作伙伴（如供应商倒闭）带来的风险，对系统或业务系统进行的旁路攻击，突发灾难等。内部环境的中的不安全因素主要是管理者从企业日常建设或安全事件中总结出来的内部整体安全氛围的情况。如在安全事件溯源过程中发现的日志审计手段不足，在攻击发现过程中对现对流量的不可见性，甚至于对内部整体安全态势的盲目乐观等。示例如图：

每一个不安全因素势必会导致一种多种安全风险，我们可以顺藤摸瓜，找出这种风险，示例如下：

2.1 企业安全能力自评与评估

框架是一种风险视角的思考方法，大家可以从以上三点出别，识别企业在安全建设中不足，并将其进行列举，列举出来后，进行详细的项目需求论证和立项，完成企业安全建设规划。

管理者也以可以将框架进行细分后将其指派对企业对应的部门，由企业内部具体部门进行详细的分析和立项。

管理可以以此框架为企业风险评估建立标准，通过评估可以得到企业在安全方面的不足，而不像传统的单点或单个系统的评估，帮助管理者从宏观层面把握企业安全风险。

2.2 安全规划

通过第一步自评和评估出的风险点，企业可以规划自己在未来的安全建设方向和安全需求，进行长远的安全规划。

如企业从环境的不安全因素中识别出自己发现外部感知能力的不足，然后规划威胁情报建设项目或舆情监测项目。

2.3 项目编排

在通过框架评估后，大部分企业会发现自己有很多的不足或需要加强和提升的建设项目，这时就需要项目编排或者优先级排序。根据行业或业务性质的不同，同样的项目建设需求可能会有不同的优先级，这里提供一种项目排序方法，供各位读者参考：

我们对规划的项目分为以下几个维度：紧迫性，可行性，易行性，回报率；每个维护分为1-3分三个等级。根据这些因素进行0-3分（允许小数）的紧迫性赋值。

在考察紧迫性时，可以考虑以下因素，用户可以自行补充。

在一个项目的需求可能由于现在技术成熟度等原因无法达到，对于这样的项目要么可以选择推迟，要么选择其他方式来实现，防止投资收益过低的出现。另外在技术成熟性时还应考虑企业实际的业务环境，不可一味地追求先进，而规划过于激进的项目；可以从以下维度进行考虑：

企业信息安全项目的实施一般都是由易到难，如能从网络层面解决的问题，就不放在终端解决，如入侵检测系统的部署，现在大部企业都选择的是NIDS（网络入侵检测），而很少使用HIDS（主机入侵检测）就是这个原理。

可以从如下几个角度进行考虑（采用倒序赋值，即越难的分数越小，越易的分数越大）：

回报率的考虑可以从回报速度，以及对其他业务推进，成本的降低等角度进行考虑，如：

各部分分值汇总

然后将每个项目各个部分的分值进行汇总，得到项目优先级的排序。

根据企业安全预算情况，可以确定执行前3名或前5名安全项目建设。接下就是项目管理的方法了，将这些项目放进甘特图，进行时间节跟踪或由指定项目经理，由项目经理定期汇报项目进度。

对于排在后几位或近期没有规划或实施的项目，技术人员可以关注和了解，这是未来企业建设的方向，以便于提前积累，为项目实施做好准备。