资产剥离（divestiture）

首先考虑范围内的资产更为有效，因为业务中断，知识产权泄漏和数据隐私不合规是范围内资产所产生的影响或後果，而范围内资产决定了不确定性和影响。

-图片提供：NIST SP 800-30 R2

-图片提供：NIST SP 800-30 R2

分析方法(Analysis Approaches)
分析方法在风险评估的方向或起点，评估中的详细程度以及如何处理由於类似威胁场景导致的风险方面有所不同。分析方法可以是：（i）面向威胁；（ii）以资产/影响为导向；或（iii）面向漏洞。
一个面向威胁的方法有威胁的来源和威胁事件的识别开始，专注於发展威胁情景; 在威胁的背景下确定漏洞，而对於敌对威胁，则根据敌对意图确定影响。
一个资产/注重效果的方式开始与监定的影响或後果的关注和关键资产，可能使用一个任务或业务影响分析的结果，并确定威胁的事件，可能导致和/或威胁源，可以寻求对这些影响或後果。
一个面向漏洞的方法与一组易患因素或组织的信息系统利用的弱点/不足之处或在系统操作环境的开始，并正在行使可与漏洞可能导致的後果行使这些漏洞一起识别威胁的事件。
来源：NIST SP 800-30 R2

参考
. 剥离
. 什麽是撤资？
. 公司资产剥离的安全风险是什麽？
. 撤资中的网络安全
. 并购与撤资中的网络安全
. 合并，收购和资产剥离

资料来源： Wentz Wu QOTD-20201214