信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通
咨询6 个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4 个基本步骤,监控审查和沟通咨询则贯穿于这4 个基本步骤中。
- 背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。
- 风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段。
- 风险处理的方式主要有降低、规避、转移和接受4种方式。风险处理的过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段。
4、批准监督包括批准和持续监督两部分。批准通过的依据(原则)有两个:一是信息系统的残余风险是可接受的;二是安全措施能够满足信息系统当前业务的安全需求。