风险管理与其它信息系统安全保障工作的关系

5.风险管理与其它信息系统安全保障工作的关系

风险管理与其它信息系统安全保障工作不是并列关系。它是管理信息安全风险的过程，是所有信息系统安全保障工作的总称。信息系统的任何安全保障工作，其最终目的都是处理信息安全风险，使残余风险可接受，从而促进信息化健康发展。基于风险的思想是所有信息系统安全保障工作的核心思想。

风险管理不只是单纯的管理行为，而是积极调动一切管理和技术资源来评估和处理信息安全风险，并最终由管理层作出决策的一种综合过程。

信息系统生命周期包括五个阶段：系统规划和启动、设计开发或采购、集成实现、运行和维护以及废弃，每个阶段均会出现不同的安全需求，均需要得到风险管理工作的支持。风险管理是一个在信息系统生命周期各主要阶段实施的连续性过程。