1.3.3 正確的風險管理方法是前瞻性風險管理加反應性風險管理。

（1）前瞻性風險管理：評估風險、實施風險決策、風險控製、評定風險管理的有效性。（2）反應性風險管理：保護人身安全、遏製損害、評估損害、確定損害部位、修複損害部位、審查響應過程並更新安全策略。風險管理最佳實踐。簡單的例子：流行性感冒是一種致命的呼吸道疾病，美國每年都會有數以百萬計的感染者。這些感染者中，至少有100，000人必須入院治療，並且約有36，000人死亡。您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，則采用服藥治療這種方式來治療疾病。此外，您也可以選擇在流行性感冒病發季節開始之前接種疫苗。二者相結合才是最佳風險管理方法。

1.3.4 全國使用統一的檢察業務係信息安全風險管理的目標是它能做好：保密性、完善性、可用性、真實性、抗抵賴性。GB/T 20984的定義，信息安全風險：人為或自然的威脅利用信息係統及其管理體係中存在的脆弱性導致安全事件的發生及其對組織造成的影響。信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息安全風險隻考慮那些對組織有負麵影響的事件。

2.風險管理的工作內容

2.1 背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和範圍，確立實施風險管理的準備，進行相關信息的調查和分析。風險管理準備：確定對象、組建團隊、製定計劃、獲得支持。信息係統調查：信息係統的業務目標、技術和管理上的特點。信息係統分析：信息係統的體係結構、關鍵要素。信息安全分析：分析安全要求、分析安全環境。

2.2 信息安全風險評估就是從風險管理角度，運用科學的方法和手段，係統地分析信息係統所麵臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵禦威脅的防護對策和整改措施；為防範和化解信息安全風險，將風險控製在可接受的水平，從而最大限度地保障信息安全提供科學依據。

信息係統的安全風險信息是動態變化的，隻有動態的信息安全評估才能發現和跟蹤最新的安全風險。所以信息安全評估是一個長期持續的工作，通常應該每隔1-3年就進行一次全麵安全風險評估。風險評估是分析確定風險的過程。風險評估的目的是控製風險。風險評估是風險管理的起點和基礎環節。風險管理是在倡導適度安全。

2.3 風險處理是為了將風險始終控製在可接受的範圍內。現存風險判斷：判斷信息係統中哪些風險可以接受，哪些不可以。處理目標確認：不可接受的風險需要控製到怎樣的程度。處理措施選擇：選擇風險處理方式，確定風險控製措施。處理措施實施：製定具體安全方案，部署控製措施。常用的四類風險處置方法如下：

2.3.1 減低風險：通過對麵臨風險的資產采取保護措施來降低風險。首先應當考慮的風險處置措施，通常在安全投入小於負麵影響價值的情況下采用。保護措施可以從構成風險的五個方麵（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險。減低風險辦法：減少威脅源：采用法律的手段製裁計算機犯罪，發揮法律的威懾作用，從而有效遏製威脅源的動機；減低威脅能力：采取身份認證措施，從而抵製身份假冒這種威脅行為的能力；減少脆弱性：及時給係統打補丁，關閉無用的網絡服務端口，從而減少係統的脆弱性，降低被利用的可能性；防護資產：采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持；降低負麵影響：采取容災備份、應急響應和業務連續計劃等措施，從而減少安全事件造成的影響程度。