信息安全和风险管理的关系

在信息安全领域，风险就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性，既然是可能，风险事件可能发生也可能不发生。如果事件确定发生，该事件就不属于风险，因为它是可以规划的已知问题。对于风险事件，我们不能简单对待，而要通过风险管理过程去识别、评估并解决这些可能发生的问题。
简单来说，风险管理就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。信息安全管理的核心内容就是风险管理，因此，我们往往会以风险管理来概述信息安全管理，在以风险为驱动的模式中，这种说法是成立的。
企业面对存在风险的现实环境，首先要考虑保护什么，通过资产识别与评价来找到对自己业务生存最为关键的东西；接下来，企业要通过多种途径来识别风险，并评估风险可能给企业带来负面影响的严重程度；在此基础上，企业度量现实状况与目标之间的差距，确定风险处理的策略，并通过安全措施的选择和实施来弥合这些差距。需要注意的是，风险管理首要的目标是保护组织及其履行正常使命的能力，而不仅仅是信息资产，所以，认为风险管理过程只是操作及管理IT系统的专家所应承担的技术职能，这种认识是错误的，风险管理实际上应该是组织最基本的管理职能的一部分。