本篇延續Day 10 的步驟往下說明，下一個步驟是

建立風險管理程序

如前項所述ISMS的核心就是在思考哪些是資安風險(現行作業程序或設備的資安弱點)以及如何決定處理的優先層級(萬一發生資安事件相對應的危害為何)。而ISO27001也允許企業自行去定義要採用的風險管理程序，常見的方式是從資產上的風險或是作業程序上的風險開始下手

風險評估的步驟有以下五點:

1. 建立風險評估的框架(RAF, Risk Assessment Framewrok)
   2.指出風險的所在
   3.風險分析
   4.風險計算
   5.選擇對應的風險管理

(風險評估的部分會於額外的文章介紹與整理)

由此去定義出風險的可接受範圍(例如，衡量危害的大小與發生的可能性)。另外，誠如上篇文章所說風險之間的衡量與計算比較是需要一個相對客觀的、可比較的度量衡，也可以嘗試使用Risk Matrix將相對性的概念轉換為數值形式，使得分數越高者代表風險程度越大。再由此分數去訂定一個可以接受的風險分數，便由此去定義風險與風險之間的處理優先層級以及是否低於某個分數的風險是屬於可接受的。

通常面對風險的時候可以有四種回應方式如容忍該風險、通過有效的管理去控制風險、完全避免或杜絕該風險的行為以及最後一個利用第三方的介入去平衡這個風險產生時所帶來的危害(e.g., 保險公司或是簽署同意書等)。在ISO27001中也有要求企業必須明訂一個SoA(Statement of Applicability)去闡述哪些控制有被採用到自身的ISMS或是沒有用到，以及如此抉擇的原因。