1/3風(fēng)險(xiǎn)管理需要定期的評估以及重新進(jìn)行風(fēng)險(xiǎn)分析目前，大多數(shù)單位都認(rèn)識到單純依靠技術(shù)和安全設(shè)備帶不來真正的安全，但在具體的信息系統(tǒng)風(fēng)險(xiǎn)管理中“偏技術(shù)、輕管理”的現(xiàn)象還普遍存在。很多單位的主管片面地認(rèn)為，風(fēng)險(xiǎn)管理就是由單位信息中心請安全公司進(jìn)行檢查，然后根據(jù)給出的評估報(bào)告購買設(shè)備，制定管理制度，就基本上完成了風(fēng)險(xiǎn)管理過程。這樣的風(fēng)險(xiǎn)管理過程是不完善的，效果也并不明顯。風(fēng)險(xiǎn)管理不能與業(yè)務(wù)脫節(jié)在信息系統(tǒng)安全風(fēng)險(xiǎn)管理過程中，應(yīng)該緊緊圍繞著一條主線，那就是信息系統(tǒng)所承載的業(yè)務(wù)應(yīng)用，脫離業(yè)務(wù)的風(fēng)險(xiǎn)管理過程是沒有意義的。系統(tǒng)安全風(fēng)險(xiǎn)管理不僅僅是對信息系統(tǒng)自身的風(fēng)險(xiǎn)進(jìn)行管理，更重要的是對整個(gè)單位業(yè)務(wù)的風(fēng)險(xiǎn)進(jìn)行管理。我們要保護(hù)的不是孤立的終端、服務(wù)器、網(wǎng)絡(luò)，而是運(yùn)行在其上的數(shù)據(jù)和它們所提供的服務(wù)。因此，對系統(tǒng)所承載業(yè)務(wù)分析的透徹程度是風(fēng)險(xiǎn)管理有效性能否得到保證的決定因素。這一點(diǎn)即使是資深的安全測評人員都是力不從心的。所以，系統(tǒng)風(fēng)險(xiǎn)管理需要由一個(gè)團(tuán)隊(duì)實(shí)施完成。團(tuán)隊(duì)中既要有業(yè)務(wù)部門的人員，又要包括信息技術(shù)人員。人2/3員構(gòu)成上應(yīng)包括組織的不同層次的代表高層管理人員、中層管理人員和一般職員。高層管理人員在風(fēng)險(xiǎn)管理中起著積極倡導(dǎo)的作用，安全目標(biāo)的確立，風(fēng)險(xiǎn)對策的決定和實(shí)施都與領(lǐng)導(dǎo)的重視程度有著密切的關(guān)系，他們的參與是保證風(fēng)險(xiǎn)管理有效的重要因素之一。風(fēng)險(xiǎn)控制要有優(yōu)先級風(fēng)險(xiǎn)控制是在風(fēng)險(xiǎn)管理過程中對風(fēng)險(xiǎn)進(jìn)行分析后實(shí)施的行為，它包括對風(fēng)險(xiǎn)評估過程中建議的安全防護(hù)措施進(jìn)行優(yōu)先級排序、評估和實(shí)現(xiàn)。LOCALHOST因?yàn)橄酗L(fēng)險(xiǎn)往往是不切實(shí)際的，甚至也是近乎不可能的，所以高級管理人員和業(yè)務(wù)職能主管有責(zé)任運(yùn)用最小成本方法來進(jìn)行最合適的控制，將安全風(fēng)險(xiǎn)降低到一個(gè)可接受的程度，使得對單位造成的負(fù)面影響最小化。圍繞風(fēng)險(xiǎn)管理所要解決的問題，對于風(fēng)險(xiǎn)有如下控制措施風(fēng)險(xiǎn)承受接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)，或采取安全防護(hù)措施，以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級別。風(fēng)險(xiǎn)規(guī)避通過消除風(fēng)險(xiǎn)的原因和/或后果來規(guī)避風(fēng)險(xiǎn)。風(fēng)險(xiǎn)轉(zhuǎn)移通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)3/3移風(fēng)險(xiǎn)，如購買保險(xiǎn)。當(dāng)必須采取安全措施進(jìn)行風(fēng)險(xiǎn)控制時(shí)，應(yīng)該先處理最大的風(fēng)險(xiǎn)，以最小的成本減緩風(fēng)險(xiǎn)，同時(shí)使風(fēng)險(xiǎn)對系統(tǒng)的影響降至最