作為信息安全風(fēng)險管理來說，其主要可以分為以下四個環(huán)節(jié)來實施：信息資產(chǎn)分析-->風(fēng)險分析-->風(fēng)險評價-->風(fēng)險處理，這里就這四個環(huán)節(jié)的核心目標和包括的子任務(wù)介紹一下。

    一、信息資產(chǎn)分析，解決組織信息安全管理的對象問題，即對哪些東西實施安全風(fēng)險管理？

    先確定什么是信息資產(chǎn)？包括：硬件、軟件、信息、數(shù)據(jù)、源碼、規(guī)則/計劃、環(huán)境設(shè)施（如：機房、動力設(shè)備、外設(shè)等）、服務(wù)、人員和無形資產(chǎn)等。我們不能脫離實際環(huán)境談風(fēng)險管理，“是不是風(fēng)險，風(fēng)險的影響度，對風(fēng)險的承受度”都和實際環(huán)境密不可分。因此，首先信息資產(chǎn)分析要從組織的核心業(yè)務(wù)識別做起，處在組織核心業(yè)務(wù)鏈上的信息資產(chǎn)應(yīng)該投入更高的優(yōu)先關(guān)注。其次，把核心業(yè)務(wù)映射到具體的業(yè)務(wù)流程和部門中，因為信息資產(chǎn)是各個部門通過流程的運行來支持業(yè)務(wù)作用的。第三，以部門為梳理執(zhí)行單元，整理各自部門下的信息資產(chǎn)，形成資產(chǎn)清單， 并把支持相同或者相近業(yè)務(wù)功能的資產(chǎn)組成資產(chǎn)組合。

    二、風(fēng)險分析，通過一些屬性，針對信息資產(chǎn)所做的風(fēng)險調(diào)查和確認，并制定有針對性的解決措施。風(fēng)險來源于外部的威脅，因此首先要根據(jù)信息資產(chǎn)來識別分析各自的威脅屬性，包括：威脅的主體、能力、資源和動機等。風(fēng)險根源是內(nèi)部系統(tǒng)的脆弱性（漏洞），包括：信息資產(chǎn)本身的脆弱性和引文安全措施不足導(dǎo)致的脆弱性。經(jīng)驗而談，大多數(shù)的脆弱性是由于不良的流程和人員意識薄弱導(dǎo)致的。對每個信息資產(chǎn)，我們需要通過定性/定量的方式進行深度分析，其目的就是客觀準確的制定控制措施（從行政、技術(shù)、管理等方面出發(fā)降低風(fēng)險發(fā)生的概率或者減少影響程度），對關(guān)鍵資產(chǎn)投入更多的資源。

    三、風(fēng)險評價，通過定性定量的評估，確定組織風(fēng)險的嚴重性和緊急程度，排列風(fēng)險解決的優(yōu)先級順序。通過我們掌握了組織每個信息資產(chǎn)的風(fēng)險情況和控制措施，接下來就是綜合評價這些信息資產(chǎn)，確定解決風(fēng)險的優(yōu)先級。這里需要強調(diào)一下，確定風(fēng)險的優(yōu)先級一定是結(jié)合業(yè)務(wù)特點，不能只從信息資產(chǎn)本身來評估。在上面介紹過“每個信息資產(chǎn)在信息資產(chǎn)本身、所在的信息資產(chǎn)組和所在的業(yè)務(wù)領(lǐng)域三個層次上具有風(fēng)險接受標準”而確定風(fēng)險優(yōu)先級也是在這三個層次中尋找最高標準的來做規(guī)劃，既是“就高不就低”原則，同時需要考慮的是技術(shù)，人員，能力和資源等因素。最后要形成風(fēng)險級別矩陣和風(fēng)險級別描述。

    四、風(fēng)險處理，通過一系列的規(guī)劃設(shè)計，確立信息安全風(fēng)險實施項目，并制定落實項目的實施。這個環(huán)節(jié)包括了以下幾個具體細節(jié)工作：第一、根據(jù)成本、目標和范圍等確定處理的策略。第二、根據(jù)管理和技術(shù)約束來選擇安全措施。第三、以項目的形式，按優(yōu)先級別組織制定安全計劃。第四、依據(jù)項目管理落實實施計劃。最后強調(diào)一點，“信息安全風(fēng)險管理”是一個持續(xù)性的管理工作，應(yīng)該作為企業(yè)組織一種常態(tài)的管理內(nèi)容定期的或者當與安全相關(guān)的事件在組織內(nèi)發(fā)生時啟動實施。每個企業(yè)、組織都應(yīng)該具備自己完成這個管理的能力。