风险管理与信息系统的整个生命周期密切相连。在信息系统的研发过程中，安全对抗措施必不可少。当实施和运行信息系统时，适当的对抗措施的有效性得到再次证实，同时威胁环境对系统安全的影响也得到了评估，以确定是否需要其他的对抗措施来维护信息系统的安全。在计划风险管理行动和分配资源的过程中，认证和鉴定的目标及其重要性应详加考虑。此外，相关的风险应能得到评估，并对不可接受的风险采取纠正措施。风险管理要求对信息系统的安全状况进行定期的跟踪和评估。风险管理程序包括：①分析信息系统面临的威胁及其弱点，以及丢失该系统的信息或能力对国家安全所造成的潜在影响。这些分析形成了确定合理和有效的对抗措施的基础；②降低风险：对可用的候选防护措施折衷分析；③残留风险定：对采取保护措施后仍存在的风险进行的划定；④可接受的风险级别：指定审批机构对安全措施实施后在信息系统运行中所残留的风险进行仔细的、明智的评估。这种评估是可以接受的；⑤反应或响应风险管理过程：促进对事故的响应和调查。 
    风险管理过程可应用于所有级别的纵深防御以及纵深防御各层之间的过渡。互相关联的系统所引起的风险必需被降低，部分可通过更深入的管理程序降低：①配置管理：配置管理对站点或信息系统在其设计、研发 和运行周期内所有的变化进行识别、控制、说明和审计。合理的配置管理可充分降低或减少花费不菲的再次鉴定的需要。应建立合理的配置管理等级以保持可信的安全态势。对信息系统或节点配置的每次更改、修正所造成的安全影响应进行评估，以确定它们是否违反指定审批机构（DAA）所发布的安全要求和认证条件。②数据管理：分布式、互联的信息系统日益增长的依赖性否定了针对传统网络而建立的数据保护机制，需要附加的防护措施来保护领域来自非授权用户和授权用户的各种信息。③需求管理：对于特殊的系统安全需求，如口令、标记指南和实施、帐号管理以及操作系统安全需求，可参考国家有关的标准规范。 
    （10）系统安全政策（ISSP） 
    信息系统安全政策是为使用信息技术资源的领域每一个部门以及领域使用的每一个信息系统而开发和维护的。ISSP应识别安全需求、目标和政策，这些政策对规定的运行配置中的节点和系统履行防护条款，包括系统冗余、数据备份以及风险管理决策的需求。为了给紧急事件响应、备份运行以及灾后修复做准备，将开发和测试突发事件计划。该政策文件将成为领域信息技术安全认证和鉴定过程所需的系统安全认可协议（SSAA）的一部分。

(责任编辑：adminadmin2008)