风险管理原则

1. 高风险原则优先处理，多项低风险叠加可能产生新的高风险，须汇整归纳并定期追踪。
2. 风险管理没有最佳答案，每一种风险处理方法，都可能降低一部份风险，并强化前一次处理程序。
3. 建立风险评估的正确目标与评估标准，比寻找其它人听说过的、有效的、速成的制式化方法与程序更为重要。
4. 风险发生率为0是实务上难以达成的标准，建议改为:「将风险发生率降低至可控范围内，组织内部核心资通讯系统服务可在组织规范时限内恢复服务。」
5. 将难题放在正确的着眼点上，勿停留在PDCA的第一个英文字母(追求完美无暇的规划而忽略现况)
6. 顾问或资安专责人员可提供高阶主管建议(如何将风险管理得更好)供参，资安治理成熟度取决於高阶主管的所有决策。
7. 程序规划或设计上，没有所谓的「安全难题」，只有管理难题，倘若任凭留下这些难题而未处理，将可能遭致灾难。

残余风险

是指已经尽了风险管理的努力之後，而依然存在的风险。它经常被误认为是可接受风险，而事实上，残余风险乃是可接受风险与未识别风险之总和。某些风险始终无法确知，甚至事故发生後，事故调查有时仍无法发现某些先前未确知的风险。

未识别风险

是指尚未确定的风险。它是实际存在的，且也是非常重要的，只是它尚未被确知或是无法衡量。

简单来说，就是风险处理後搞不定的部份

1. 可能是预算、技术、人、时间又或者是其它意料之外的事项...
2. 资安制度的建立与维护在於组织内部的每个人，是否确实参与并提供职务应有的品质。

资料来源:
风险评估观念与实务
风险评估
行政院及所属各机关风险管理及危机处理作业原则
浅谈风险管理与稽核之运用
风险之接受性
资安知识大补丸