一个有害事件由威胁、脆弱性和影响三个部分组成。脆弱性包括可被威胁利用的资产性质。如果不存在脆弱性和威胁，则不存在有害事件，也就不存在风险。风险管理是调查和量化风险的过程，并建立组织对风险的承受级别。它是安全管理的一个重要部分。风险管理过程如图5-12所示。 

    安全措施的实施可以减轻风险。安全措施可针对威胁和脆弱性自身。但无论如何，不可能消除所有威胁或根除某个具体威胁。这主要是因为消除风险所需的代价，以及与风险相关的各种不确定性。因此，必须接受残留的风险。在存在很大不确定性的情况下，由于风险度量不精确的本质特征，在怎样的程度上接受它才是恰当的，往往会成为很大的问题。SSE-CMM过程区包括实施组织对威胁、脆弱性、影响和相关风险进行分析的活动保证。
    ②工程 
    系统安全工程与其他工程活动一样，是一个包含概念、设计、实现、测试、部署、运行、维护、退出的完整过程（参见图5-13）。在这个过程中，系统安全工程的实施必须紧密地与其他的系统工程组进行合作。SSE-CMM强调系统安全工程师是一个大项目队

(责任编辑：adminadmin2008)