NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

全组织范围的风险管理策略包括组织对安全和隐私风险的容忍度表达、安全和隐私风险缓解策略、可接受的风险评估方法、评估整个组织安全和隐私风险（相对于组织风险容忍度）的流程，以及随时间监控风险的方法。负责风险管理的高级负责人（机构主管或指定官员）将信息安全管理流程与战略、运营和预算规划流程相结合。由负责风险管理的高级负责人领导的风险执行职能，可以推动整个组织一致地应用风险管理策略。风险管理策略可以参考来自组织内部和外部的安全与隐私风险相关输入，以确保策略具有广泛性和全面性。PM-30中描述的供应链风险管理策略也可以为组织整体风险管理策略提供有用的参考。