1.1　风险管理的作用

风险管理旨在检测出可能发生损失的情况或事件，并获取相应的风险应对方法。有以下几种应对风险的方式：

• 接受风险，即什么也不做，让它发生。众所周知，这是养虎为患。
• 防范风险，即采取措施防止风险发生。
• 降低风险，即采取相应的保护措施来减轻风险造成的后果。

在漏洞管理中，我们看到风险都是由信息系统、流程和策略中的缺陷导致的。下图显示了漏洞管理与风险管理项目之间的关系。可以看出，漏洞管理在风险管理项目中的作用，是为了在组织的控制或影响下，发现并化解由漏洞导致的风险。风险管理中有关事件概率分析（event probability analysis）和持续性管理（continuity management）等其他方面，与漏洞没有直接关联。
漏洞管理通常关注软件技术漏洞和系统配置漏洞。而需要风险管理师关注的是那些无法被自动检测到的，与企业策略、经济状况和环境条件等相关的漏洞。这些漏洞存在于业务流程、策略和供应链等各个环节。业务中的每一项活动或策略，只要存在设计缺陷或适应性缺陷，就能被利用。因此，风险管理师更为重要的任务就是发现和应对这些挑战。在本书中，我们将主要讨论第一种类型的漏洞，同时也会对第二种类型的漏洞予以关注。