U radu se daje prikaz pristupa upravljanju sigurnosti informacija utemeljenog na rizicima te multivarijatnoj analizi s više aspekata uz definirane kriterije i težište na preventivno i proaktivno upravljanje rizicima. Sigurnost informacija sustava upravljanja izravno ovisi o upravljanju rizicima poslovanja. Iz tih razloga norma ISO 9000:2015 rizik definira kao učinak nesigurnosti, tj. odstupanje od očekivanog – u pozitivnom ili negativnim smislu, što znači stupanj ostvarenja ciljeva poslovanja. Norma ISO 9001:2015 prvenstveno zahtijeva da se preventivno upravlja rizicima poslovanja pa i informacija ne uvjetujući metode i modele upravljanja. S druge strane norma ISO 31000 (Sustavi upravljanje rizicima) zagovara pored preventivnog i proaktivno upravljanje rizicima poslovanja. Taj zahtjev je veoma opravdan jer omogućava da se pravovremeno reagira na pojave bilo kakvih ugrožavanja informacija. Preduvjeti učinkovite primjene pristupa upravljanju utemeljenom na rizicima je dodatna osposobljenost menadžmenta i raspolaganje alatima (softver) za multivarijatnu analizu rizika. The paper presents an approach to risk - based information security management and multivariate analysis with defined criteria and an emphasis on preventive and proactive management of business risks. The security of a management system depends directly on managing the risks of the business. For these reasons, ISO 9000: 2015 defines risk as the effect of uncertainty, ie deviation from what is expected - in a positive or negative sense, which means the degree of achievement of the business objectives. ISO 9001: 2015 primarily requires that the risks of a business be preventively managed but not conditional which management methods and models. ISO 31000 (Risk Management Systems), on the other hand, advocates in addition to preventive and proactive management of business risks and information. This request is very justified because it allows to react in a timely manner to the occurrence of any information threats. The preconditions for effective implementation of a risk-based management approach are additional management skills and the availability of tools (software) for multivariate risk analysis.