13.1 風險管理策略和流程（MSR_PPP）

風險管理是信息安全中重要的安全管理過程，它貫穿信息系統生命周期的全部過程。影響信息系統安全的風險在信息系統全生命周期任何階段都有可能出現，需要采用信息安全風險管理的方法加以控制。可以接受的代價識別、控制、最小化或者消除風險的管理過程即風險管理。風險管理是一種動態的安全管理，它要求所有的安全管理初始于一次特定的風險評估活動，并以最終獲得控制風險的效果為風險管理的結束標志，整個過程在系統生命周期內重復，循環不息。風險管理過程概括如下：安全分類、風險評估、風險控制、效果驗證、風險評估更新。
風險管理管理保障控制類的目的是建立一套風險管理體系，確定合適的安全控制措施，確保組織機構具有完成其使命的信息安全保障能力。
圖11描述了風險管理管理保障控制類的組成結構。
。

13.1.1　安全保障管理目的

風險管理策略是為系統進行合理、有效的風險管理而制定的一組法律、法規和措施的總合，是對風險管理過程的正式描述，是所有人員都必須遵守的規則。

13.1.2　MSR_PPP.1 風險管理策略和流程

13.1.2.1　管理保障控制組件控制

組織機構開發、分發和定期審核/更新：（i）一份正式的，文檔化的風險管理策略，包括目的、范圍、角色、職責和符合性；以及（ii）正式、文檔化的流程以幫助實施風險管理策略和相關的風險管理控制。

13.1.2.2　管理保障控制組件注解

風險評估策略和流程應符合可適用的法律、指令、策略、規范、標準和指南。風險管理策略應作為組織機構信息安全策略的一部分. 可根據需要，為信息安全規程整體或為某個特定系統來編制風險評估流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。