信息安全管理的根本方法是風險管理。
風險管理的介紹:
風險管理是指如何在項目或者企業壹個肯定有風險的環境裏把風險可能造成的不良影響減至最低的管理過程。風險管理對現代企業而言十分重要。
當企業面臨市場開放、法規解禁、產品創新,均使變化波動程度提高,連帶增加經營的風險性。良好的風險管理有助於降低決策錯誤幾率、避免損失可能、相對提高企業本身附加價值。
定義:
風險管理當中包括了對風險的量度、評估和應變策略。理想的風險管理,是壹連串排好優先次序的過程,使當中的可以引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押後處理。
現實情況裏,優化的過程往往很難決定,因為風險和發生的可能性通常並不壹致,所以要權衡兩者的比重,以便作出最合適的決定。
“風險管理”亦要面對有效資源運用的難題,這牽涉到機會成本(opportunitycost)的因素。把資源用於風險管理,可能使能運用於有回報活動的資源減低;而理想的風險管理,正希望能夠花最少的資源去去盡可能化解最大的危機。
“風險管理”曾經在1990年代西方商業界前往中國進行投資的行政人員必修科目。當年不少MBA課程都額外加入“風險管理”的環節。
概念:
風險管理是社會組織或者個人用以降低風險的消極結果的決策過程,通過風險識別、風險估測、風險評價,並在此基礎上選擇與優化組合各種風險管理技術,對風險實施有效控制和妥善處理風險所致損失的後果,從而以最小的成本收獲最大的安全保障。風險管理含義的具體內容包括:
1.風險管理的對象是風險。
2.風險管理的主體可以是任何組織和個人,包括個人、家庭、組織(包括營利性組織和非營利性組織)。
3.風險管理的過程包括風險識別、風險估測、風險評價、選擇風險管理技術和評估風險管理效果等。
4.風險管理的基本目標是以最小的成本收獲最大的安全保障。
5.風險管理成為壹個獨立的管理系統,並成為了壹門新興學科。