간단히 말해 위험 관리는 위험을 식별하고, 위험을 평가하고, 위험을 수용 가능한 수준으로 줄이고, 이러한 위험 수준을 유지하기 위한 조치를 취하는 프로세스입니다. 정보 보안 관리의 핵심 내용은 위험 관리이므로 위험 기반 모델에서도 위험 관리를 사용하여 정보 보안 관리를 요약하는 경우가 많습니다.
위험에 처한 현실 환경에 직면하여 기업은 먼저 무엇을 보호할 것인지, 자산 감정 평가를 통해 자신의 기업 생존에 가장 중요한 것을 찾아야 한다. 다음으로 기업은 다양한 채널을 통해 위험을 식별하고 위험이 기업에 미칠 수 있는 부정적인 영향의 심각성을 평가해야 합니다. 이를 바탕으로 기업은 실제 상황과 목표 간의 격차를 측정하고 위험 처리 전략을 결정하고 보안 조치의 선택과 구현을 통해 이러한 격차를 해소합니다. 위험 관리의 주요 목표는 정보 자산뿐 아니라 조직과 정상적인 임무를 수행할 수 있는 능력을 보호하는 것입니다. 따라서 위험 관리 프로세스는 it 시스템을 운영 및 관리하는 전문가가 수행해야 하는 기술적 기능일 뿐이라고 생각하는 것은 잘못된 것입니다. 실제로 위험 관리는 조직의 가장 기본적인 관리 기능의 일부여야 합니다.