首先考慮範圍內的資產更為有效，因為業務中斷，知識產權洩漏和數據隱私不合規是范圍內資產所產生的影響或後果，而範圍內資產決定了不確定性和影響。

-圖片提供：NIST SP 800-30 R2

-圖片提供：NIST SP 800-30 R2

分析方法(Analysis Approaches)
分析方法在風險評估的方向或起點，評估中的詳細程度以及如何處理由於類似威脅場景導致的風險方面有所不同。分析方法可以是：（i）面向威脅；（ii）以資產/影響為導向；或（iii）面向漏洞。
一個面向威脅的方法有威脅的來源和威脅事件的識別開始，專注於發展威脅情景; 在威脅的背景下確定漏洞，而對於敵對威脅，則根據敵對意圖確定影響。
一個資產/注重效果的方式開始與鑑定的影響或後果的關注和關鍵資產，可能使用一個任務或業務影響分析的結果，並確定威脅的事件，可能導致和/或威脅源，可以尋求對這些影響或後果。
一個面向漏洞的方法與一組易患因素或組織的信息系統利用的弱點/不足之處或在系統操作環境的開始，並正在行使可與漏洞可能導致的後果行使這些漏洞一起識別威脅的事件。
來源：NIST SP 800-30 R2

參考
. 剝離
. 什麼是撤資？
. 公司資產剝離的安全風險是什麼？
. 撤資中的網絡安全
. 併購與撤資中的網絡安全
. 合併，收購和資產剝離

資料來源： Wentz Wu QOTD-20201214