文档介绍：精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
澳大利亚—新西兰风险管理标准（AS/NZS精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
接受风险：接受特定风险的后果和可能性。
风险识别：分析什么安全事件发生了、怎样发生以及发生原因的过程。
风险分析：利用可用信息来决定某一安全事件发生频率和产生后果范围的系统分析方法。
风险评价：通过把需要评价的风险与预先确定的标准、目标风险级别或其它准则作比较，来确定风险管理的优先级。
风险评估：风险分析和风险评估的全过程。
风险控制：采用策略、标准、程序和物理措施来消除或降低风险的方法，它是风险管理的一部分。
降低风险：采用技术和管理措施来降低风险发生的可能性或后果。
风险处置：选取适当的方法对风险进行处理。
（二）AS/NZS 4360的风险管理流程
（一）通信和咨询
通信和咨询在风险管理过程的每一步都很重要。因此，企业内外部的风险影响风险管理过程的早期开发一个通信计划非常必要，计划阐述的问题主要是对风险本身的理解及风险处置措施的选取等。有效的内外通信及咨询可以保证风险管理的顺利实施。
（二）建立环境
建立环境对风险管理至关重要，它提供了风险评估的环境。这一步的主要任务如下：
1．确定风险管理的策略、目标、范围、管理小组及职责等。
2．分析识别风险影响者。风险影响者包括企业内部的雇员、管理者、志愿者等、企业外部的商业伙伴、保密机构、政府机构、环境组织、消费者、新闻媒体等。
3．开发风险评价准则。内容包括风险承受能力和风险处置方式，受技术、经济、法律、社会、可操作性等因素的影响，它们依赖于企业的风险管理策略、目标等。尽管风险评价准则在建立风险管理环境时开发，但它们可以在风险识别和风险分析方法选定进一步开发和提炼。
4．定义风险识别过程中的关键元素。把信息安全项目在逻辑结构上分解成一系列的元素，对每一个元素进行风险分析就比较容易了。在信息安全项目分解时一定要全面，要包含所有的重要问题，以保证重大风险不被忽略。
精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
（三）风险识别
对第二步定义的每一关键元素都要系统地检查，以识别什么发生了（产生全面的安全事件列表）和它们是怎样发生的（找出安全事件发生的原因）。
风险识别的方法有组内讨论、使用检查列表、人工经验和以往相似项目的记录、调查问卷、系统工程分析等。组内讨论是最有效的风险识别方法，可以充分利用讨论组内每位成员的创造力并关注新出现的问题；检查列表易于使用，但只能检查出列表上的风险，这就需要经常更新检查列表。通常这些方法可以结合起来使用。
（四）风险分析
风险分析的目的是分离可接受的小风险和不能接受的大风险，为风险评价和处理提供数据。风险分析包括安全事件的后果、后果发生的可能性以及它们的影响因子，还包括对现有的管理、技术措施进