风险管理的作用风险管理是IT管理者平衡IT系统及数据的保护成本和保护收益的方法，包括：风险评估（RiskAssessment）；风险消减（RiskMitigation）；持续评价（ContinualEvaluation）；风险管理的作用在于能够为机构完成其使命提供：更安全的IT系统；更有效的IT安全预算；IT系统运行认可（Accreditation）依据；风险管理的关键角色高级管理人员（SeniorManagement），为风险管理项目提供有效的资源保证，将风险分析的结果运用于管理决策；首席信息官（ChiefInformationOfficer，CIO），将风险管理原则和方法用于IT计划、预算及其执行活动；系统和信息拥有者（SystemandInformationOwners），支持风险管理项目，并将风险管理原则和方法用于其IT系统和数据的保护中；业务和职能管理人（BusinessandFunctionalManagers），将风险管理原则和方法用于业务运行和IT采购决策中，以便IT系统能够更安全、有效地支持业务活动；信息系统安全官（InformationSystemSecurityOfficer，ISSO），IT风险管理项目的具体负责人，制定IT系统风险识别、评估和消减的全面方案，并向高级管理人员提供建议；IT安全专业人员（ITsecurityPractitioners），包括网络、系统、应用、数据库管理员、计算机专家、安全分析员、安全顾问等，支持和参与相关IT系统的风险管理工作，包括识别系统中的风险并部署适当的防范措施，为系统提供适当的安全保护；安全意识培训师（SecurityAwarenessTrainers），理解风险管理方法并开发风险管理相关的培训材料，在培训项目中为用户提供培训评估方面的教育。风险评估系统评定（SystemCharacterization）威胁识别（ThreatIdentification）缺陷识别（VulnerabilityIdentification）控制分析（ControlAnalysis）可能性确定（LikelihoodDetermination）影响分析（ImpactAnalysis）风险确定（RiskDetermination）控制建议（ControlRecommendations）结果报告（ResultsDocumentation）系统评定确定风险评估工作的范围；勾勒运作授权（或认可）边界；提供定义系统风险的重要信息，这些信息主要包括以下类型：硬件；软件；系统接口（如内部和外部连接）；数据和信息；支持和使用IT系统的人员；系统的使命（如IT系统所起的作用）；系统和数据的关键程度（如系统的价值或对机构的重要性）；系统和数据的敏感性。系统评定应收集的信息IT系统的功能需求（FunctionalRequirements）；系统的用户，包括为系统提供技术支持的系统用户（SystemUsers），和使用系统执行业务功能的应用用户（ApplicationUsers）；系统安全政策（SecurityPolicy），包括机构政策（OrganizationalPolicy）、政府要求（FederalRequirements）、法律法规（Law）和业界惯例（IndustryPractices）；系统安全架构（SystemSecurityArchitecture）；当前的网络拓扑（Topology）；保护系统和数据可用性、完整性和保密性的信息存储安全措施；IT系统相关的信息流图，如系统接口、系统输入和输出流程图（Flowchart）；用于IT系统的技术控制措施，如支持识别（Identification）和认证（Authentication）、访问控制（AccessControl）、审计（Audit）、残留（Residual）信息保护、加密（Encryption）的内建或附加安全功能；用于IT系统的管理控制措施，如行为规则（RulesofBehavior）、安全计划（SecurityPlanning）；用于IT系统的运行控制措施，如人事安全（PersonnelSecurity）、备份（Backup）、应急（Contingency）、复原（Resumption）和恢复（Recovery）操作、系统维护（SystemMaintenance）、离站存储（Off-SiteStorage）、用户账户（UserAccount）建立和删除规程、用户功能隔离（Segregation）控制；IT系统的物理安全措施，如设施安全（FacilitySecurity）、数据中心政策（DataCenterPolicies）；IT系统的环