1)風險管理準備

風險管理準備階段包括確定風險管理對象、組建風險管理團隊、制定風險管理計劃和獲得支持四個工作過程。

確定風險管理對象，要求依據(jù)組織的使命，并遵循國家、地區(qū)或行業(yè)的相關政策、法律、法規(guī)和標準的規(guī)定，確定將要實施風險管理的對象和范圍，范圍可能是組織全部的信息及相關的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的信息系統(tǒng)、關鍵業(yè)務流程、與客戶知識產(chǎn)權(quán)相關的系統(tǒng)或部門等；

確認管理對象需要考慮如下信息：

◇組織的業(yè)務戰(zhàn)略目標、策略和方針

◇業(yè)務過程

◇組織的職能和結(jié)構(gòu)

◇適用于組織的法律法規(guī)和合同義務的要求

◇組織的信息安全方針

◇組織風險管理的整體方法◇信息資產(chǎn)

◇組織的位置及其地理特性◇影響組織的約束條件

◇利益相關方的期望◇社會文化環(huán)境

◇界面（與環(huán)境的數(shù)據(jù)交換）

組建風險管理團隊，包括確定團隊成員、組織結(jié)構(gòu)、角色、責任等內(nèi)容。團隊成員應由管理層、相關業(yè)務骨干、信息技術、安全技術等人員組成風險評估小組，。必要時，可組建由評估方、被評估方領導和相關部門負責人參加的風險評估領導小組，聘請相關專業(yè)的技術專家和技術骨干組成專家小組。

制定風險管理計劃，即依據(jù)機構(gòu)的使命，制定風險管理的實施計劃，包括風險管理的目的、意義、范圍、目標、組織結(jié)構(gòu)、實施方案、經(jīng)費預算和進度安排等，形成《風險管理計劃書》；

獲得支持，指上述內(nèi)容確定后，《風險管理計劃書》應得到組織最高管理者的支持和批準，由決策層對管理層和執(zhí)行層進行傳達，在組織范圍就風險管理相關內(nèi)容進行培訓，以明確有關人員在風險管理中的任務。