在近代高科技普及化的社會，許多公司行號或是中小企業都會使用到資訊系統來進行營運活動的輔助，而當這些資訊系統面臨不可預期的狀況導致營運中斷，其所須考量的後續管理活動，就是資訊安全營運持續管理所要提供的服務。假設目前我們先把組織的角度替換成個人來說明，可思考一個如下情境：
若同仁早已習慣使用手持裝置（手機/平板）來進行網路證券的下單，正準備進行股票的賣出時，卻因手機3G網路服務中斷而無法執行，我們此時應有一個後續計畫來應變此緊急狀況，此，備用方案可能是手機平常就保存著證券營業人員的聯絡方式，抑或是隨身攜帶營業人員名片，透過電話方式取代網路完成股票下單賣出。上述例子已簡單描述了營運持續管理的精神。

資訊安全營運持續管理的服務項目

1、協助識別組織關鍵業務的重要系統

2、協助組織鑑別資訊系統中斷的衝擊影響

3、決定關鍵業務活動緊急恢復的次序

4、規劃資訊安全營運持續計畫與執行方式

資訊安全營運持續管理的效益

1、確保組織面臨資訊風險時，能確保營運活動不因系統中斷而無法於要求的時間範圍內復原

2、協助瞭解目前投入的資源是否符合組織所認知應有水準的期望

3、防患於未然，事先的預防與準備，可以降低實際發生資訊安全災害時對組織的衝擊

在談資訊安全風險管理前：

我們先思考幾個生活情境：

1、出國自助旅遊時，有想過護照遺失時，該如何處理呢？
2、開著車子至風景幽美的偏僻地方，有想過油料耗盡，卻又找不到加油站的情境嗎？
3、您準備進行電腦簡報時，卻發生電腦開不起來或者檔案壞掉，該怎麼辦呢…？
4、緊急要聯絡一個親朋友好友，卻發現他的電話在手機內突然找不到。
5、車子暫停在路邊的紅線，會不會突然被舉發或被拖吊？

由上述所提及的一些情境，可發現日常生活許多事情都隱含大大小小的風險，只是發生頻率的高低、以及其衝擊的影響，進而直接影響我們對其重視的程度。

資訊安全顧問風險管理服務

由萬弘資訊資安顧問進行風險管理服務的流程可參考上圖：首先會評估組織目前的關鍵業務流程，了解目前的管理規範與制度，以及資訊安全技術面的管理措施後，參考國際資訊安全管理的標準ISO 27001:2005、ISO 27001:2013、ISO 27005/CNS 27005、ISO 31000:2009與美國國家風險評鑑的方法、國內個人資料保護法、營業秘密法來進行風險評估與風險管理，利用系統化方法協助組織成立專案小組，協同工作分析組織目前於：

資產管理
權限分配與管理
網路電子通訊
日常作業管理
實體環境、辦公環境
系統軟體取得、開發過程、維護
供應商、外包廠商安全管理
法令法規
人力資源管理
災難復原 / 營運過程中斷的復原
資訊安全事件 / 事故處理流程

的各面向風險，並與組織討論最適切的管理規範與技術面的管控措施，協助組織處理高風險的業務流程、風險來源以及相關的資訊資產。

資訊安全顧問服務流程

透過業務流程、核心問題、實務上常見的資安事故、與國際標準的許多要求可簡單列舉(包括但不限於)：委外廠效監督與管理、人員認知與資訊安全管理方式的檢視、專案管理上的安全、網路安全的管理、災難復原的應變之類等等。

舉例說明

資訊環境、或是軟體開發直接委外來辦理，應注意的就是其交付程式碼有進行安全性考量、測試；資訊環境完全委外，我們要能確保服務等級、水準符合組織營運要求，甚至一些保密的義務也應該要遵守。若應注意而未注意，當風險發生時，往往會讓我們造成無形或有形的損失。

資訊安全顧問風險管理實際效益

客觀檢視風險來源 (不以坊間產品功能為出發點)
依據高風險項目，決策資源的分配
涵蓋業務流程的不同資訊安全面向。