《信息安全技術(shù) 信息安全風險評估規(guī)范》（GB/T 20984-207）中說明了信息安全風險的三要素為威脅位迂、資產(chǎn)和脆弱性渺贤。《信息安全技術(shù) 信息安全風險管理指南》（GB/Z 24364-2009）對信息安全風險管理過程進行了定義嘁锯，包括背景建立宪祥、風險評估、風險處理家乘、批準監(jiān)督蝗羊、監(jiān)控審查和溝通咨詢六個方面。其中背景建立仁锯、風險評估耀找、風險處理和批準監(jiān)督是信息安全風險管理的四個基本步驟，監(jiān)控審查和溝通咨詢則貫穿于這四個基本步驟中业崖。

風險管理的這四步中野芒，第一步背景建立，確定風險管理的對象和范圍腻要，確立實施風險管理的準備复罐，進行相關(guān)信息的調(diào)查和分析。第二步風險評估雄家，針對確立的風險管理對象所面臨的風險進行識別效诅、分析和評價。第三步是風險處理趟济，依據(jù)風險評估的結(jié)果乱投，選擇和實施合適的安全措施。第四部是普準監(jiān)督顷编，機構(gòu)的決策層依據(jù)風險評估和風險處理的記過是否滿足信息系統(tǒng)的安全要求戚炫，做出是否認可風險管理活動的決定。

當受保護系統(tǒng)的業(yè)務(wù)目標和特性發(fā)生變化或面臨新的風險時媳纬，需要再次進入上述4步双肤，形成新的一次循環(huán)。

監(jiān)控審查對上述4步進行監(jiān)控和審查钮惠，監(jiān)控是監(jiān)視和控制過程的有效性和成本的有效性茅糜。溝通咨詢是為相關(guān)人員提供溝通和咨詢。溝通是為上述過程參與人員提供交流途徑素挽，以保持相關(guān)人員之間的協(xié)調(diào)一致蔑赘，共同實現(xiàn)安全目標。咨詢是為上述過程所有相關(guān)人員提供學習途徑，以提高人員的風險意識和知識缩赛，配合實現(xiàn)安全目標耙箍。

背景建立、風險評估酥馍、風險處理辩昆、批準監(jiān)督、監(jiān)控審查和溝通咨詢構(gòu)成了一個螺旋式上升的循環(huán)物喷，使得受保護系統(tǒng)在自身和環(huán)境的變化中能夠不斷應(yīng)對新的安全需求和風險卤材。

背景建立的過程包括風險管理準備、信息系統(tǒng)調(diào)查峦失、信息系統(tǒng)分析和信息安全分析四個階段扇丛。

風險評估的過程包括方風險評估準備、風險要素識別尉辑、風險分析和風險結(jié)果判定四個階段帆精。

風險處理的過程包括風險判斷、處理目標確立隧魄、處理措施選擇和處理措施實施四個階段卓练。風險處理的四種方式為：降低、接受购啄、規(guī)避襟企、轉(zhuǎn)移。

批準監(jiān)督包括批準和持續(xù)監(jiān)督兩部分狮含。批準顽悼，是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定几迄。持續(xù)監(jiān)督蔚龙，是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新的安全隱患并影響到信息系統(tǒng)的安全保障級別映胁。

批準通過的原則有兩個：一是信息系統(tǒng)的殘余風險是可接受的木羹，而是安全措施能夠滿足信息系統(tǒng)當前業(yè)務(wù)的安全需求。

監(jiān)控審查包括三方面的內(nèi)容：一是監(jiān)控過程的有效性解孙，要求對過程是否完整和有效地被執(zhí)行進行監(jiān)督坑填；對輸出文檔是否齊全和內(nèi)容完備進行監(jiān)控；二是監(jiān)控成本的有效性弛姜，要求對執(zhí)行成本與所得效果相比是否合理進行監(jiān)控穷遂；三是審查結(jié)果有效性和復合型，要求對輸出結(jié)果是否符合信息系統(tǒng)的安全要求進行審查娱据；對輸出結(jié)果是否因信息系統(tǒng)自身或環(huán)境的變化而過時進行審查。。

溝通咨詢實現(xiàn)兩方面的目標中剩，一是面向參與人員的溝通忌穿；二是面向相關(guān)人員的咨詢。

內(nèi)容來自于《信息安全技術(shù) 信息安全風險管理指南》（GB/Z 24363-2009)结啼。