对于顾客和商家来说，2005年最大的教训是安全问题。暴露出来的大量的安全威胁多是来自企业内部、企业外部，以及商务合作伙伴。拥有安全的网络系统对于现代企业来说至关重要，企业网络不仅要抵御诸如黑客、病毒等外部的安全威胁，而且还要防备企业内部员工和商务合作伙伴由于对企业的不满而制造的安全威胁。

　　然而，最重要的、也许是最令人气馁的安全难题是，你能够信任谁：你敢随便打开员工发送的邮件附件吗？你能信任张三或李四，让他访问企业顾客的敏感信息吗？你对企业的安全措施、安全政策、安全操作等有充分的信心吗？你信任自己最大的供应商、最重要的代理商以及最密切的商务合作伙伴吗？实际上，你最需要知道，你所信任的人是否执行有关政策、约定、规则以及其他的要求。

　　信任是要建立在相应制度之上的。要在充分了解企业的风险所在的基础上，来制定规章制度和守则框架，并做好相应的准备预案。然而，令人遗憾的是太多的企业仅仅有几条规则，而且这些规则条目除了造成超支花费、重复工作、浪费机会等以外，别无他用。企业的安全问题仍然会暴露在公共攻击之下。
 
　　风险评估不是查找弱点。高质量的风险评估不仅是为了分清企业被攻击的类型，更为重要的是要搞清楚企业自身的基本情况及其敏感信息。另一方面，企业不仅要制定风险管理计划，而且要在风险分析的基础上具体落实风险管理制度。风险分析的主要目标是，明确风险是来自于企业内部还是你信任的商务合作伙伴、企业顾客：谁访问企业的敏感信息，谁访问企业顾客、商务合作伙伴的敏感信息，这些访问是否与他的工作相关，谁的工作需要访问这些信息，等等。

　　分析商务合作伙伴风险时，最常见的错误是没有关注 “意外”情况存在潜在的安全问题。我们常常会发现有些人获取敏感信息是合法的，如由于工作关系接触用户的信用卡号码。这些人还常常将这些信息备份保存在计算机缓存里、在专用软件里、在中间系统中、在辅助系统中、在旧的系统中，以及放置在长时间遗忘的地方，等等。这实际上是完全不需要和极端危险的。特别是，一些个人把敏感信息拷贝在电子表格中或掌上电脑中保存的现象十分普遍。

　　风险评估首先要确定企业内部的风险所在。明确哪些是企业、商务合作伙伴、企业顾客的敏感信息，并查找这些数据存在的安全漏洞，这对于在你所“信任的圈子”里保护企业的信息安全尤为重要。要确定企业最为敏感的3－10类信息，并在你“信任的圈子”里一一对照检查。一是通过逻辑分析的方式查看这类信息在不需要的地方能否找到，二是通过全面检测存放敏感信息的大多数的服务器和系统等，以此确保这些敏感信息处在你认为需要的地方。

　　其次，风险评估还要了解企业外部风险所在。评估企业的数据信息与企业顾客、商务合作伙伴之间的关系：谁能够访问你的网络和系统，这些人有权访问哪些数据信息。根据企业的业务实际，你需要充分了解企业顾客和商务伙伴的详细情况。大型数据服务公司ChoicePoint公司曾经识别出50个诈骗公司，这些公司利用购买的信息从事犯罪活动。企业还要清醒地认识到，和“可信任的人”共享敏感信息会带来潜在的风险。因此，需要充分地评估企业的商务合作伙伴，包括详细了解他们的背景情况、财务状况以及其他需要查证的信息。甚至还要要求商务合作伙伴填写风险问卷调查表，对他们的安全、工艺流程、业务程序、人员情况和规章制度等都要实地考察。还可以要求他们提供著名机构给出的评估证明。如Visa公司和MasterCard公司等企业有如PCI（支付卡行业）数据安全的全球安全标准，以此来评估其他企业。有些企业还建立了专用的评估程序、调查问卷、调查方法、访问场所，以及其他特殊的评估技术，来评估商业合作伙伴。第三还可以使用其他的方法，如要求提供使用ISO 17799工业标准、HIPAA标准，基准目标审计等标准进行评估的第三方的评估证明。

　　此外，政府或其他机构制定的法规或规章，也是保证信任的关键因素。尽管企业对当前的制度环境存有反感，但是作为企业还是需要遵从这些制度标准的。根据全面风险评估的结果，建立起有关安全制度。这些企业的安全制度不仅要满足众多法规及其实施细则的安全要求，而且还要能够尽量减少实施安全策略的成本，达到减少企业受到的安全攻击的效果。