可能性：0表示不可能，1表示要發(fā)生

　　嚴重程度：0表示沒有影響，1表示完全破壞

　　故障點：0表示沒有故障點，1表示極容易受攻擊的

　　在“火災”示例中，計算出的風險數字代表基于指定的容易起火的位置，十分之四的火災事故會引起重大的損失。從完整的表格中，你可以辨識出各種風險，并對其進行優(yōu)先級排序以便于進一步的工作。雖然我們在示例表格中填寫了任意數值，許多這類數值可以從風險管理表中獲得，這些數值可以基于歷史數據或對于特殊事件極其結果的分析中得出。

　　作為一位業(yè)務連續(xù)性專員，需要確保進行一次這樣的風險評估，就像我們在上面所做的那樣，這樣可以識別對于企業(yè)可能存在的威脅。一旦就這一系列風險達成共識，你可以開始業(yè)務影響分析（BIA）來判斷各種風險對于企業(yè)的財務或運營的影響。

　　風險處理

　　在企業(yè)風險管理中，一旦識別出風險，你需要決定如何進行處理。以下是四項基本方法：

　　規(guī)避：決定如何避免會引起風險的操作。

　　減緩：通過各種途徑來降低或減緩風險的影響程度；如果不能消除風險，至少降低其潛在的影響程度。

　　分擔：找到另一家實體公司來吸收一部分風險；保險是經常使用的風險分擔機制。

　　接納：接受風險本身以及其可能引起的潛在威脅。

　　這些選項可以作為你的業(yè)務連續(xù)性/災難恢復規(guī)劃策略的考慮因素。

　　業(yè)務連續(xù)性流程中的風險管理

　　在業(yè)務連續(xù)性工作流程中應當如何定位風險管理？讓我們考慮以下圖例，其描述了一個典型的業(yè)務連續(xù)性/災難恢復過程的事件順序。
 

　　業(yè)務連續(xù)性過程事件順序
 

　　如你所見，風險管理活動發(fā)生在流程初期。我們只有了解公司所面臨的風險之后才能進行策略制定、規(guī)劃及其它工作。

　　風險管理標準和專業(yè)組織協會

　　國際風險管理標準是ISO 31000，風險管理之部署原則和指南，該文件于2009年11月由國際標準化組織（ISO）發(fā)布。另一項有用的標準是ISO31010:2009，風險管理之風險評估技術，其提供組織執(zhí)行風險評估的指南。在美國的一份卓越的風險管理標準是SP 800-30，其由美國國家標準技術研究所（NIST）開發(fā)制定。當致力于風險管理項目時，請確保使用上述已有的標準作為參考建議。

　　在美國，最突出的風險管理或許應該是RIMS（風險與保險管理協會），其通過教育規(guī)劃、專業(yè)認證、會議、出版物、風險相關的信息和風險專業(yè)人士直接的網絡，解決整個風險管理課題。

　　企業(yè)風險管理是業(yè)務連續(xù)性流程的重要組成部分。從任何目前企業(yè)業(yè)務連續(xù)性/災難恢復標準，比如BS 25999 Part 2 或 NFPA 1600:2010中，你都可以借鑒用于風險管理。

　　如果你的企業(yè)相當龐大，或許有風險管理部門或類似的職能部門。確保和其保持聯系，并將其納入到你的業(yè)務連續(xù)性/災難恢復方案之中。在整個業(yè)務連續(xù)性/災難恢復規(guī)劃的開發(fā)中，利用該團隊共享想法、經驗，并且降低可能存在的困擾因素。