20.1.3 安全管理系统

7 安全管理系统包括：管理机构、责任制、教育制度、培训、外部合同作业安全性。

8 如果采取外购策略，应确定本单位外购战略，包括：与企业战略一致的外购目标、外购目的（降低成本或者集中于核心能力）、外购范围（所有系统或特定的IT功能）和报告渠道。

20.1.4 安全管理范围

9 项目风险是可能导致项目背离既定计划的不确定事件、不利事件或弱点。项目的风险管理集中了项目风险识别、分析和管理。

10 对项目的风险管理应当包括哪些内容？

答：（1）一个风险管理计划，至少应强调主要的项目风险（财务、进度、组织、业务调整）、潜在的风险影响、风险管理的可能的解决方案、降低风险的措施；（2）一个风险预防计划和应急计划，包括降低风险所必须的资源、时间和成本概算；（3）一个在整个项目周期内自始至终对风险进行测定、跟踪及报告的程序；（4）应急费用，并将其列入预算。

11 管理目标的确定和管理措施的选择原则是费用不超过风险所造成的损失。

20.1.5 风险管理

12 考虑信息安全是必须注意的风险：物理破坏；人为错误；设备故障；内、外部攻击；数据误用；数据丢失；程序错误。

13 风险管理是指识别、评估、降低风险到可以接受的程度，并实施适当机制控制风险保持在此程度之内的过程。

14 风险分析的方法与途径：定性分析和定量分析。

15 风险分析小组、管理者、风险分析工具、企业文化决定了进行风险分析时采用哪种中方式或两者的结合。

16 成功执行需要高级管理部门的支持和指导，管理部门需要确定风险分析的目的和范围，指定小组进行评估，并给予时间、资金的支持。风险小组应由不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员。

17 风险是指某种破坏或损失发生的可能性。

18 有形资产可以通过资产的价值进行分类，如机密级、内部访问级、共享级、未保密级。

19 风险管理：风险分析；风险评估；控制风险。

20 风险管理方式：降低风险、避免风险、转嫁风险、接受风险

21 制定安全策略时，首先要识别当前的安全机制并评估它的有效性。

22 对于每一类威胁要分别对待，采取防护措施时，要考虑：产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。

23 安全措施：物理、技术、管理安全措施。