信息安全工程原理

风险管理

风险管理

指导和控制一个组织相关风险的活动

风险管理的过程

1. 风险评估
2. 风险处理
3. 风险接受
4. 风险信息传递

风险管理的作用和目标

残余风险处于可接受的状态

持续循环，不断上升

风险管理的原则

适度安全

平衡成本与效益