Jede Organisation verwaltet ihre Risiken, jedoch nicht immer in einer nachvollziehbaren, wiederholbaren und konistenten Art und Weise, dass dadurch die Entscheidungsfindung erleichtert wird. Die Aufgabe des Risk Managements ist sicherzustellen, dass die Unternehmen eine kosteneffiziente Verwendung der Risiko Prozesse auf Basis von einer Reihe klar definierter Schritte benutzen. Damit sollen das Risikobewusstsein verbessert und das Verständnis hinsichtlich des wahrscheinlichen Einflusses auf die Service Assets erkannt werden.

Es bestehen hierzu zwei verschiedene Phasen: Risiko Analyse und Risiko Management. Bei der  Risiko Analyse geht es um die Sammlung von Information hinsichtlich der Gefährdung durch Risiken, damit das Unternehmen angemessene Entscheidungen treffen können. Dabei geht es um die Identifikation von Risiken sowie deren Berechnung.

Beim Risiko Management geht es um die Überwachung der Risken, laufende Überprüfung der Risiko-Entwicklung sowie das Finden einer Balance zwischen Kontrolle der Risiken und dem Treffen von Gegenmassnahmen. Letztere müssen finanziell begründet werden können. (ITIL V3)

ENISA ist die "European Network and Information Security Agency" welche innerhalb der EU als Center of Excellence agiert und Beratungen sowie Empfehlungen im Bereich Information Security und Risk Management zur Verfügung stellt. Hier ist ein Link, welcher einen sehr guten Überblick über die von ENISA entwickelten  Risiko Analyse und Risiko  Management Methoden vermittelt.

Verwenden Sie diesen Link, umd das ENISA-HTML-Tool  zu starten.