在進行風險管理之前，要先知道風險從哪裡來？會有什麼影響？風險可能存在於組織內部或外部，也可能會影響到自己以外的多個組織。在智財權方面，除了自身智財機密有機會被洩漏外，如果組織內使用的軟體或任何元件不遵守原開發者的授權規範（License），甚至有導致組織遭到罰款、訴訟的風險。

理解風險本身後，接下來就是要進行管理，風險管理主要可以分為識別、評估、處理三大步驟，以下將詳細介紹各步驟的意義。

風險識別（Risk Identification）

風險識別是一個滾動是更新的流程，除了第一次的識別外，後續依然需要不斷的識別新出現的風險，並辨識風險的特徵、預估對組織造成影響的可能性。
風險識別需要注意以下的重點：

• 明確傳達
• 任何組織內部人員都應該協助識別風險並回報
• 進行防範
  資安人員經常協助的風險識別通常為系統面，重點在於 SOP、控制措施、監控、事件應變與復原，如果組織從來沒有做過風險識別，建議需要與組織內部多方討論，亦可以尋求外部顧問的支援。

風險評估（Risk Assessment）

風險評估是對組織的業務、資產、個人或其他組織的風險進行識別、預估和分級的過程，評估結果應該將資訊系統所產生的每個風險列出，並與組織的目標、目的、資產、SOP 相關連，通常以報告形式提交給管理階層，確認風險的分級。

• 風險：危害資安的外部勢力
• 弱點：控制措施的薄弱環節
• 風險：威脅與漏洞的綜合評估
• 可能性：發生的機率
• 嚴重性：造成的影響程度
  風險應該按照可能性與嚴重性進行排序，而評估風險的可能可以使用兩種方法：
• 定性風險評估：以評估者的主觀想法進行評估
• 定量風險評估：透過標準化的評分機制進行評估

風險處理（Risk Treatment）

對已經確定會產生的風險、重要性較高的風險做出處理的動作，要採用何種方式處理取決於管理階層對於風險的態度、減輕風險的可能性與成本，可大致分類為以下四種：

• 消除：最治本的風險處理方法，但可能對於組織的日常運作造成影響，需要謹慎評估；但如果風險的嚴重性或可能性非常高時，為了快速應變，管理層可能願意選擇直接消除風險，最常見的就是直接將系統下線暫停服務。
• 降低：最常見的處理方法，採取行動使發生的可能性與嚴重性降低，作法包括控制措施（安全設定、政策、程序）、更新、上 patch等。但不是所有風險都能被緩解，如果無法緩解時，則應該考慮其他的作法。
• 轉移：將風險轉移至另一方，對方將接受或補償風險發生時導致的損失，最常見的是保險。需要注意的是，以前可能會認為委外第三方也是風險轉移，現今資安管理已經將委外業務管理納入組織的責任，組織對承包商仍應負起監督管理的責任。
• 接受：指不採取任何動作，原因可能包括影響或可能性極低、組織收入足以彌補等。