《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984-207）中說明了信息安全風(fēng)險(xiǎn)的三要素為威脅、資產(chǎn)和脆弱性?！缎畔踩夹g(shù) 信息安全風(fēng)險(xiǎn)管理指南》（GB/Z 24364-2009）對(duì)信息安全風(fēng)險(xiǎn)管理過程進(jìn)行了定義，包括背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢六個(gè)方面。其中背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督是信息安全風(fēng)險(xiǎn)管理的四個(gè)基本步驟，監(jiān)控審查和溝通咨詢則貫穿于這四個(gè)基本步驟中。

風(fēng)險(xiǎn)管理的這四步中，第一步背景建立，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析。第二步風(fēng)險(xiǎn)評(píng)估，針對(duì)確立的風(fēng)險(xiǎn)管理對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)。第三步是風(fēng)險(xiǎn)處理，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。第四部是普準(zhǔn)監(jiān)督，機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的記過是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定。

當(dāng)受保護(hù)系統(tǒng)的業(yè)務(wù)目標(biāo)和特性發(fā)生變化或面臨新的風(fēng)險(xiǎn)時(shí)，需要再次進(jìn)入上述4步，形成新的一次循環(huán)。

監(jiān)控審查對(duì)上述4步進(jìn)行監(jiān)控和審查，監(jiān)控是監(jiān)視和控制過程的有效性和成本的有效性。溝通咨詢是為相關(guān)人員提供溝通和咨詢。溝通是為上述過程參與人員提供交流途徑，以保持相關(guān)人員之間的協(xié)調(diào)一致，共同實(shí)現(xiàn)安全目標(biāo)。咨詢是為上述過程所有相關(guān)人員提供學(xué)習(xí)途徑，以提高人員的風(fēng)險(xiǎn)意識(shí)和知識(shí)，配合實(shí)現(xiàn)安全目標(biāo)。

背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢構(gòu)成了一個(gè)螺旋式上升的循環(huán)，使得受保護(hù)系統(tǒng)在自身和環(huán)境的變化中能夠不斷應(yīng)對(duì)新的安全需求和風(fēng)險(xiǎn)。

背景建立的過程包括風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析四個(gè)階段。

風(fēng)險(xiǎn)評(píng)估的過程包括方風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定四個(gè)階段。

風(fēng)險(xiǎn)處理的過程包括風(fēng)險(xiǎn)判斷、處理目標(biāo)確立、處理措施選擇和處理措施實(shí)施四個(gè)階段。風(fēng)險(xiǎn)處理的四種方式為：降低、接受、規(guī)避、轉(zhuǎn)移。

批準(zhǔn)監(jiān)督包括批準(zhǔn)和持續(xù)監(jiān)督兩部分。批準(zhǔn)，是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定。持續(xù)監(jiān)督，是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新的安全隱患并影響到信息系統(tǒng)的安全保障級(jí)別。

批準(zhǔn)通過的原則有兩個(gè)：一是信息系統(tǒng)的殘余風(fēng)險(xiǎn)是可接受的，而是安全措施能夠滿足信息系統(tǒng)當(dāng)前業(yè)務(wù)的安全需求。

監(jiān)控審查包括三方面的內(nèi)容：一是監(jiān)控過程的有效性，要求對(duì)過程是否完整和有效地被執(zhí)行進(jìn)行監(jiān)督；對(duì)輸出文檔是否齊全和內(nèi)容完備進(jìn)行監(jiān)控；二是監(jiān)控成本的有效性，要求對(duì)執(zhí)行成本與所得效果相比是否合理進(jìn)行監(jiān)控；三是審查結(jié)果有效性和復(fù)合型，要求對(duì)輸出結(jié)果是否符合信息系統(tǒng)的安全要求進(jìn)行審查；對(duì)輸出結(jié)果是否因信息系統(tǒng)自身或環(huán)境的變化而過時(shí)進(jìn)行審查。。

溝通咨詢實(shí)現(xiàn)兩方面的目標(biāo)，一是面向參與人員的溝通；二是面向相關(guān)人員的咨詢。

內(nèi)容來自于《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》（GB/Z 24363-2009)。