风险管理就是在适当的成本范围内，对影响信息系统的安全风险进行识别、控制、降低、消除、转移等的一系列过程。风险管理的几个要素是资产价值、威胁、脆弱性、威胁的潜在影响以及脆弱性被利用的可能性。

    　　当脆弱性被利用，同时影响到资产的时候，就产生了风险。随着资产价值、脆弱性等级、被利用可能性的不同，产生的风险也会不同。

    　　冠群金辰公司的主动防御体系的理论的基础就是尽量使资产、脆弱性以及被利用可能性之间的重合尽可能减少，也就是说尽可能在产生安全事故之前避免、减少、或转移风险。要将重点放在主动（Proactive)地控制风险，而不是被动(Reactive)地响应事件，提高整个信息安全系统的有效性和可管理性。