13.2 風險管理過程（MSR_RMP）

13.2.1　安全保障管理目的

以可以接受的代價識別、控制、最小化或者消除風險。

13.2.2　MSR_RMP.1 安全分類

13.2.2.1　管理保障控制組件控制

組織機構對信息系統進行分類，并處理信息的加工、存儲或轉移，使它與系統安全計劃中的文檔化結果一致。指定高層部門檢查確認安全分類。

13.2.2.2　管理保障控制組件注解

組織機構進行組織范圍內的安全分類活動需要包括首席信息官，資深的信息安全官員，信息系統所有者和信息所有者。

13.2.3　MSR_RMP.2 風險評估

13.2.3.1　管理保障控制組件控制

風險評估是對信息和信息處理設施所面臨的威脅及其影響以及信息系統脆弱性及其發生的可能性的評估。

13.2.3.2　管理保障控制組件注解

標識信息系統的資產價值，識別信息系統面臨的自然的和人為的威脅，識別信息系統的脆弱性，分析各種威脅發生的可能性，并定量或定性描述可能造成的損失，評估系統的風險級別。

13.2.4　MSR_RMP.3 風險控制

13.2.4.1　管理保障控制組件控制

組織機構在對風險等級進行劃分后，應考慮法律法規（包括客戶及相關方）的要求、機構自身的發展要求、風險評估的結果確定安全水平，對不可接受的風險選擇適當的處理方式及控制措施，并形成風險控制計劃。

13.2.4.2　管理保障控制組件注解

對每個確定的風險必須制定出相應的風險控制措施。可能采取的風險控制方法包括：
a) 回避風險；
b) 降低風險（降低發生的可能性或減小后果）；
c) 轉移風險；

13.2.5　MSR_RMP.4 效果驗證

13.2.5.1　管理保障控制組件控制

驗證風險評估后所采取的控制措施的正確性、有效性。

13.2.5.2　管理保障控制組件注解

效果驗證既是一次風險評估活動的終點，有可能作為另一次風險評估活動的起點。在本活動中控制風險的效果將得到證明和檢驗，而活動的觸發點將有計劃地安排在安全控制實施一個階段后數據信息得到足夠積累的時候。

13.2.6　MSR_RMP.5 風險評估更新

13.2.6.1　管理保障控制組件控制

當信息系統有重大變動或者設備改變影響到系統的安全狀態時，組織機構需要更新風險評估。

13.2.6.2　管理保障控制組件注解

組織機構開發并文檔化具體標準，考慮哪些是信息系統的重大變動。