簡單來說,風險管理就是識別風險、評估風險、采取措施將風險降低到可接受水平,並維持這壹風險水平的過程。信息安全管理的核心內容是風險管理,所以我們經常用風險管理來概括信息安全管理,在風險驅動模型中也是如此。
面對有風險的現實環境,企業首先要考慮保護什麽,通過資產鑒定評估找到對自己企業生存最關鍵的東西;接下來,企業要通過各種渠道識別風險,評估風險可能給企業帶來的負面影響的嚴重程度;在此基礎上,企業度量實際情況與目標之間的差距,確定風險處理的策略,並通過安全措施的選擇和實施來彌合這些差距。應當指出,風險管理的主要目標是保護組織及其履行正常使命的能力,而不僅僅是信息資產。因此,認為風險管理流程只是操作和管理it系統的專家應該承擔的技術職能是錯誤的。事實上,風險管理應該是組織最基本管理職能的壹部分。