1.5　确定优先级

一旦识别并评估了威胁和风险，就必须以持续保护为重心，按照风险高低确定优先级以进行治理。但这并非总是一项成本高昂的活动，对于一个组织来说，大量防御性的风险降低措施能够以极低甚至零成本来实施。也就是说，在很多情况下，可以以零预算启动一个安全计划。为免费启动安全计划而进行的尽职调查，对管理团队来说意义重大。

　不要总是按照供应商或第三方的建议来确定优先级。每个组织的环境各不相同，需要根据具体情况进行处理。当收集完所有信息后，根据整体情况确定任务的优先级。

本书并不是按顺序列出要完成的安全任务。根据环境的不同，优先级排序可能有很大的差别。只需记住，如果当前环境已经遭受攻击，不要首先创建策略或者移除恶意软件。作为一名“消防队员”，在扑灭大火之前，你不应该担心寻找纵火犯和火源的问题。