簡單來說,風險管理就是識別風險、評估風險、采取措施將風險減少到可接受水平,並維持這個風險水平的過程。信息安全管理的核心內容就是風險管理,因此,我們往往會以風險管理來概述信息安全管理,在以風險為驅動的模式中,這種說法是成立的。
企業面對存在風險的現實環境,首先要考慮保護什麽,通過資產識別與評價來找到對自己業務生存最為關鍵的東西;接下來,企業要通過多種途徑來識別風險,並評估風險可能給企業帶來負面影響的嚴重程度;在此基礎上,企業度量現實狀況與目標之間的差距,確定風險處理的策略,並通過安全措施的選擇和實施來彌合這些差距。需要註意的是,風險管理首要的目標是保護組織及其履行正常使命的能力,而不僅僅是信息資產,所以,認為風險管理過程只是操作及管理IT系統的專家所應承擔的技術職能,這種認識是錯誤的,風險管理實際上應該是組織最基本的管理職能的壹部分。