目录：

• >数据结构和影响

  组织内部的威胁控制的执行过程，要以把重要信息按照影响级别分为机密性，完整性和可用性。

• >基线管理与控制

  影响类别的基线控制标准可以分为高、中、低控件附录的基线。一些情况下，基线控件是程序化与技术化相对的（比如，存储加密和密钥状态下的敏感文件，同时使用跨削减碎纸机（cross-cut shredder）来处理这些文件 ）。知情人员熟悉内部控件，就可以找到一种方法，进入某个单一控件或执行较差的控件。尤其要注意其后的控制类型。副标题简介

• >风险管理审计

  了确保敏感数据和宝贵资产得到适当的保护，需要风险管理审计功能。仔细检查哪些人有权访问敏感数据，以及这些访问是否恰当。审计功能也应该可以监控系统和内部人员，以检测非法活动。审查审计跟踪，以寻找安全事件和滥用权限。核实目录许可，薪金控制和会计系统配置。确保备份软件得到合适配置，并备份无误。在完全开放的允许下存储审查敏感信息的网络共享部分。进行办公场所的审查，以确定安全策略和程序在实际中是否得到遵守

• >风险管理参考文献

  这一部分提供了内部风险管理的一些参考文献。