尽人皆知，企业摆设有效的东西进行IT风险的评估是很是首要的，但一样首要的是企业进行风险评估的频率。即便企业在IT风险评估中涵盖了所有方面，但假定没有足够频繁地评估的话，仍然可能面对巨大年夜的安然风险。

　　当然良多法案律例(例如HIPAA)要求企业每年进行一次风险评估，但Neohapsis公司风险和咨询办事主管Gary Alterson暗示，对大年夜大都企业来讲，一年一次的风险评估其实不敷。 Alterson暗示：“鉴于敏捷改变的威胁环境和IT的移动速度，我建议企业起码应当每季度进行一次风险评估。”

　　BestIT公司首席安然官Jim Mapes暗示，实际环境是，此刻大年夜大都企业乃至很难有足够的时候来进行年度风险评估，这也是为甚么他觉得企业必需从头考虑他们评估风险的编制的启事。他暗示，“更好的编制是在生命周期内更频繁的进行风险评估，一年四时不间断地进行评估，汇集关于新缝隙的数据，修复古缝隙，并辨认缝隙没法修复的标题问题范畴，和记实营业决定计划来减缓对其他可接管程度的影响。”

　　Neohapsis公司首席安然参谋Nathaniel Couper-Noles暗示，这类生命周期做法的关头是构建时候和资本到内部审计IT生命周期内。而我们从审计听到最多见的标题问题是他们太忙而没空进行内部审计。这多是因为时候表过于严重，或项目陷进窘境，企业应当尽早进行审计，并常常进行审计，让IT团队设计流程和系统，确保他们进行周全的有效的审计。

　　这部门设计应当包含对运营风险身分(影响着企业安然态势)的平常追踪。这对追踪IT环境或威胁环境内的改变尤其首要。当然这是一个艰巨的任务，但企业起码可以对任务进行优先排序，从更持续的评估开端。

　　Rook Consulting公司安然参谋Luke Klink暗示：“不要觉得一口吻可以或许吃成胖子!企业应当专注于最首要的工作，例如常识产权、财务和客户数据等。”

　　最后，最关头的是企业不该该只是评估风险，还应当想编制在全部生命周期减缓这些风险，假定没有及时解决这些风险标题问题，这些标题问题只会像滚雪球一样越滚越大年夜。