風險管理原則

1. 高風險原則優先處理，多項低風險疊加可能產生新的高風險，須彙整歸納並定期追蹤。
2. 風險管理沒有最佳答案，每一種風險處理方法，都可能降低一部份風險，並強化前一次處理程序。
3. 建立風險評估的正確目標與評估標準，比尋找其它人聽說過的、有效的、速成的制式化方法與程序更為重要。
4. 風險發生率為0是實務上難以達成的標準，建議改為:「將風險發生率降低至可控範圍內，組織內部核心資通訊系統服務可在組織規範時限內恢復服務。」
5. 將難題放在正確的著眼點上，勿停留在PDCA的第一個英文字母(追求完美無暇的規劃而忽略現況)
6. 顧問或資安專責人員可提供高階主管建議(如何將風險管理得更好)供參，資安治理成熟度取決於高階主管的所有決策。
7. 程序規劃或設計上，沒有所謂的「安全難題」，只有管理難題，倘若任憑留下這些難題而未處理，將可能遭致災難。

殘餘風險

是指已經盡了風險管理的努力之後，而依然存在的風險。它經常被誤認為是可接受風險，而事實上，殘餘風險乃是可接受風險與未識別風險之總和。某些風險始終無法確知，甚至事故發生後，事故調查有時仍無法發現某些先前未確知的風險。

未識別風險

是指尚未確定的風險。它是實際存在的，且也是非常重要的，只是它尚未被確知或是無法衡量。

簡單來說，就是風險處理後搞不定的部份

1. 可能是預算、技術、人、時間又或者是其它意料之外的事項...
2. 資安制度的建立與維護在於組織內部的每個人，是否確實參與並提供職務應有的品質。

資料來源:
風險評估觀念與實務
風險評估
行政院及所屬各機關風險管理及危機處理作業原則
淺談風險管理與稽核之運用
風險之接受性
資安知識大補丸