1. Proces identyfikacji, pomiaru i kontroli ryzyka w systemach informatycznych w celu zmniejszenia ryzyka do poziomu współmiernego do wartości chronionych aktywów. (Patrz: Risk Analysis). 2. Proces kontrolowania niepewnych zdarzeń, które mogą mieć wpływ na zasoby systemu informatycznego. 3. Całkowity proces identyfikacji, kontroli i łagodzenia ryzyka związanego z systemem informacyjnym. Obejmuje ocenę ryzyka, analizę kosztów i korzyści oraz wybór, wdrożenie, testowanie i ocenę zabezpieczeń. Ten ogólny przegląd bezpieczeństwa systemu uwzględnia zarówno skuteczność, jak i wydajność, w tym wpływ na misję i ograniczenia wynikające z polityki, regulacji i przepisów prawa. [SP30]
Skrót: –
