信息安全风险管理的定义及其范围？

信息安全风险管理是指通过建立有效的机制，实现对信息安全风险的识别、计量、评估、预警和控制，确保信息系统高效、可靠、安全、平稳、持续运行，规避因为信息技术应用而引起的各种风险。一般包括风险评估、风险处理、风险接受、风险通报、风险监控、风险回顾。

应用系统中的业务流程可能存在因流程控制缺陷而引起的操作风险。此类风险与信息技术应用的关系密切，并且极有可能因为自动化、网络化的实现方式而被放大，因此必须将其纳入全面信息安全风险管理的范围：

• 应用系统中业务流程操作风险本质上仍属于业务操作风险，此类操作风险的识别、评估以及提出流程控制要求等职责原则上属于业务流程主管条线；
• 但是通过系统实现的业务流程与传统手工方式有较大的区别，信息技术的应用使业务流程的风险情况发生了较大的变化，因此此类风险的管理课题横跨IT技术与业务运营两个领域；
• 所以从实现全面风险管理的角度出发，应将协助管理此类风险的职责纳入信息安全风险管理的范围，由IT部门采取适当的方式积极参与其管理工作；

• ISO
• ISO27001 信息安全管理体系认证