4.2 信息安全風險管理的內容和過程

信息安全風險管理包括背景建立、風險評估、風險處理、批準監督、監控審查和溝通咨詢六個方面的內容。背景建立、風險評估、風險處理和批準監督是信息安全風險管理的四個基本步驟，監控審查和溝通咨詢則貫穿于這四個基本步驟中，如圖1所示。

第一步驟是背景建立，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調查和分析。第二步驟是風險評估，針對確立的風險管理對象所面臨的風險進行識別、分析和評價。第三步驟是風險處理，依據風險評估的結果，選擇和實施合適的安全措施。第四步驟是批準監督，機構的決策層依據風險評估和風險處理的結果是否滿足信息系統的安全要求，做出是否認可風險管理活動的決定。當受保護系統的業務目標和特性發生變化或面臨新的風險時，需要再次進入上述四個步驟，形成新的一次循環。監控審查對上述四個步驟進行監控和審查。監控是監視和控制上述四個步驟的過程有效性和成本有效性；審查是跟蹤受保護系統自身或所處環境的變化，以保證上述四個步驟的結果有效性和符合性。溝通咨詢為上述四個步驟的相關人員提供溝通和咨詢。溝通是為上述過程參與人員提供交流途徑，以保持相關人員之間的協調一致，共同實現安全目標。咨詢是為上述過程所有相關人員提供學習途徑，以提高人員的風險意識和知識，配合實現安全目標。背景建立、風險評估、風險處理、批準監督、監控審查、溝通咨詢構成了一個螺旋式上升的循環，使得受保護系統在自身和環境的變化中能夠不斷應對新的安全需求和風險。
在本標準的第五章到第十章，對信息安全風險管理實施過程上述六個步驟的概念、過程、工作內容、輸出文檔等進行了闡述。