一、前言

风险管理的概念应用于业务的所有方面，包括规划和项目风险管理、健康和安全以及金融。这也是那些关注信息技术安全的人非常常用的术语。风险管理的一般定义是评估和缓解对企业构成威胁的潜在问题，无论这些问题的来源是什么。风险管理的概念已经被广泛使用了许多年，现在已经得到了相当普遍的理解。它应用于商业的各个方面。

二、风险管理的三个主要概念

1、风险是选择的行动或活动(包括选择不行动)导致损失(不良结果)的可能性。威胁是对系统或组织造成不必要影响的潜在原因。威胁也可以定义为可能对组织的货物造成损害的不希望发生的事件(有意或无意)。

漏洞是系统程序、架构系统、其实施、内部控制和其他原因中的弱点，可被利用来绕过安全系统和未经授权的信息访问。漏洞代表任何使有关资产的信息能够被威胁利用的弱点、管理流程、行为或声明。风险管理是一个过程，包括:-识别组织在实现业务时使用的信息资源的漏洞和威胁目标；

2、风险评估，确定生产的可能性和影响，利用漏洞跟踪威胁；

3、确定可能的对策，并根据信息资源对组织的价值，决定采用哪种对策，以便将风险降低到可接受的水平。

执行风险管理的目标是使组织能够将活动结果保持在最高值。这个过程应该尽可能有效地结合所有能增加成功概率和减少实现目标的不确定性的因素。风险管理应该是一个不断发展的过程。应特别注意消除或减少风险的战略的实施及其应用，对风险过去演变的分析，以及对事件的现在和未来的预测。管理过程应在最高管理级别实施。

三、风险管理流程

风险管理是一个永久性的循环过程，包括建立、监控和确保组织活动持续改进的活动。这一进程包含四项主要活动，必须长期应用和发展。

1、设计管理系统包括识别业务需求，评估风险的可能性和影响，包括实施安全策略和选择适当的现有风险的对策；

2、实施管理体系，包括应用控制措施和工作程序、资源分配、设定职责以及开展培训和意识计划；

3、监测、审查和重新评估管理系统包括评价控制和工作程序、业务变化、以往事故报告和现有风险的有效性；

4、管理系统的改进和更新包括纠正已识别的功能障碍，或消除不可持续的决策或应用新的控制措施。

四、风险管理三个过程

1、风险评估流程包括建立进行评估的标准(关于现有威胁和漏洞以及相关风险的程序、关于已识别风险的影响和可能性的程序、风险评估程序、识别减轻或消除风险的措施的程序、选择减轻或消除风险的最佳措施的程序)以及识别和评估风险。

2、风险缓解是指确定消除或减轻风险的最佳措施，根据计划规划、实施优化的选定措施，并控制实施过程的正当性。

3、对剩余风险的重新评估包括在风险缓解步骤后评估剩余风险，并在组织能够正常开展工作之前，确定剩余风险是否为可接受的水平，或者是否应实施额外措施来进一步降低或消除剩余风险。

五、讨论

风险管理最重要的目标之一是通过更好地保护存储、处理或传输组织信息的信息系统来实现；使管理层能够做出充分知情的风险管理决策，以证明预算支出的合理性，并协助管理层授权(或认证)系统风险管理的绩效。

【相关素材】略。