1)風險管理準備

風險管理準備階段包括確定風險管理對象、組建風險管理團隊、制定風險管理計劃和獲得支持四個工作過程。

確定風險管理對象，要求依據組織的使命，并遵循國家、地區或行業的相關政策、法律、法規和標準的規定，確定將要實施風險管理的對象和范圍，范圍可能是組織全部的信息及相關的各類資產、管理機構，也可能是某個獨立的信息系統、關鍵業務流程、與客戶知識產權相關的系統或部門等；

確認管理對象需要考慮如下信息：

◇組織的業務戰略目標、策略和方針

◇業務過程

◇組織的職能和結構

◇適用于組織的法律法規和合同義務的要求

◇組織的信息安全方針

◇組織風險管理的整體方法◇信息資產

◇組織的位置及其地理特性◇影響組織的約束條件

◇利益相關方的期望◇社會文化環境

◇界面（與環境的數據交換）

組建風險管理團隊，包括確定團隊成員、組織結構、角色、責任等內容。團隊成員應由管理層、相關業務骨干、信息技術、安全技術等人員組成風險評估小組，。必要時，可組建由評估方、被評估方領導和相關部門負責人參加的風險評估領導小組，聘請相關專業的技術專家和技術骨干組成專家小組。

制定風險管理計劃，即依據機構的使命，制定風險管理的實施計劃，包括風險管理的目的、意義、范圍、目標、組織結構、實施方案、經費預算和進度安排等，形成《風險管理計劃書》；

獲得支持，指上述內容確定后，《風險管理計劃書》應得到組織最高管理者的支持和批準，由決策層對管理層和執行層進行傳達，在組織范圍就風險管理相關內容進行培訓，以明確有關人員在風險管理中的任務。