2.6 风险管理

信息风险管理是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。 公司面对的风险具有各种形式的，它们并非都与计算机有关。 下面列出几种主要的风险： 1.物理破坏 2.人为破坏 3.设备故障 4.内部和外部攻击 5.数据误用 6.数据丢失 7.应用程序错误

2.6.1 谁真正的了解风险管理

正确地实施风险管理意味着你全面了解组织，了解它所面临的威胁，知道应该采取什么样的应对措施来处理这些威胁，并持续监控以确保风险级别处于可接受的级别。

2.6。2 信息风险管理策略

适当的风险管理需要高级管理层的坚定承诺和一个文本化过程 IRM策略应当成为组织机构总体风险管理策略的一部分

IRM策略应当涉及下列内容：
1.IRM团队的目标
2.公司可接受的风险级别及其定义
3.风险识别的形式化过程
4.RIM策略与组织机构的战略规划过程之间的联系
5.RIM的职责以及履行这些职责的角色
6.风险和内部控制之间的映射关系
7.为相应风险分析而改变员工行为和资源分配的方式
8.风险与业绩目标和预算之间的映射关系
9.监控控制效率的主要指标

2.6.3 风险管理团队

略