4.1 信息安全風險管理的范圍和對象

信息安全的概念涵蓋了信息、信息載體和信息環境三個方面的安全。信息指信息系統中采集、處理、存儲的數據和文件等內容；信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體；信息環境指信息及信息載體所處的環境，包括物理平臺、系統平臺、網絡平臺和應用平臺等硬環境和軟環境。

信息安全風險管理是基于風險的信息安全管理，也就是，始終以風險為主線進行信息安全的管理。

從概念上講，信息安全風險管理應該涉及到信息安全上述三個方面（即信息、信息載體和信息環境）中包含的所有相關對象。然而對于一個具體的信息系統，信息安全風險管理可能主要涉及到該信息系統的關鍵和敏感部分。因此，根據實際信息系統的不同，信息安全風險管理的側重點，即風險管理選擇的范圍和對象重點應有所不同。