风险识别是风险管理的基础,也是风险评估的重要工作阶段。只有在正确识别出信息安全风险管理对象自身所面临的风险的基础上,人们才能够主动选择适当有效的方法进行处理。
信息安全风险管理的对象是组织。一个单位是一个组织,某个业务部门也可以是一个组织。发展战略和业务是针对一个组织而言的。发展战略和业务是信息安全风险管理的基本要素,也是风险识别的首要对象。
