2.1.1   風險管理概念

信息安全的概念涵蓋了信息、信息載體和信息環境三個方面的安全，信息是指信息系統中采集、處理、存儲的數據和文件等內容；信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體；信息環境指信息及信息載體所處的環境，包括物理平臺、系統平臺、網絡平臺和應用平臺等硬環境和軟環境。

信息是流動的，在信息的流動過程中必須能夠識別所有可能途徑的載體與環境；而對于信息本身而言，信息的敏感性的定義是對信息保護的基礎和依據，信息在不同的環境存儲和表現的形式也決定了風險管理的效果，不同的載體下，可能體現出信息的永久性、臨時性和信崽的交互場景i這使得風險管理變得復雜和不可預測。例如：信息需要永久存儲在數

據庫服務器中；在完成事務處理過程時，信息在中間件中以虛表的形式完成事務，并刪除虛表；信息有可能在表現層，也就是Web應用服務器中殘留，并且在用戶端駐留在Cookies或者臨時文件之中。信息安全風險管理是基于風險的信息安全管理，也就是，始終以風險為主線進行信息安全的管理。應根據實際信息系統的不同來理解信息安全風險管理的側重點，即風險管理選擇的范圍和對象重點應有所不同。