为保证实验室安全，风险管理应始终贯穿整个实验室持续运转的过程，包括风险评估、风险控制和风险回顾三个部分。

风险评估是病原微生物实验室不可缺少的一项管理活动，是实验室生物安全的重要保证，意义重大，其对生物安全的指导价值在于：①确定生物安全防护水平。根据评估的结果，确保实验室的空间、设施与设备能满足所从事工作的安全需要。②依据实验室风险评估结果，制定病原微生物操作、仪器设备使用的操作程序与管理规程，病原微生物保藏、运输、灭活、销毁程序，潜在危害分析与意外事故处理程序，人员培训、个人防护、感染监测、健康保障与监督程序等。③生物风险评估中包含大量相关病原微生物的背景信息，是所有工作人员必须学习的参考资料。④为评价病原微生物实验室生物安全状况提供依据。病原微生物实验室生物安全评价是保证实验室生物安全的最重要环节之一，是在对拟进行的病原微生物实验活动风险评估审核的基础上，评估操作程序、管理制度以及实验室设备设施能否满足生物安全要求。首先，对在无控制措施下进行实验操作可能产生的危害进行评价，进而决定在实验操作与管理上的风险控制措施，并分析采取了控制措施后的残余风险，同时建立监督控制措施。

风险管理首先应进行风险评估，包括风险识别、风险分析和风险评价三个步骤，识别存在什么风险，分析发生风险的可能性，评价风险发生可能导致后果的严重程度。风险评估应系统地利用相关信息来确定其危害源，包括历史数据、理论分析、已知的见解，为风险控制采取进一步措施提供依据。

首先，应根据掌握的知识与经验，对实验操作各环节可能造成的暴露、设施设备可能发生的故障对安全产生的影响、管理感染监测系统存在的缺陷等进行识别，明确危害来源和危害因素；对存在的问题进行描述或提出风险质疑，一旦确立了风险，就可根据掌握的知识与专业经验进行分析。

风险分析是对所确定的危害源相关风险进行预估，应考虑实验室内人员或外环境中人群和生态系统（动物等）直接暴露于病原微生物的方式、强度、频率及时间，并考虑病原微生物的数量与病原微生物的致病力，分析每个风险发生的可能性（possibility），如果数据充分可进行剂量-效应评估及严重性（severity）评估。

风险评价是将已识别和分析的风险进行评价，评估固有风险（inherent risk，IR）在未采取任何控制措施时，事故可能导致的危害程度。

风险控制包括风险降低（risk reduction）和接受风险（risk acceptance）两个部分。风险降低是指针对风险评估中确定的风险进行改进，并降低风险。采取风险控制措施首先考虑消除危险源，然后再考虑降低风险（降低潜在伤害发生的可能性或严重程度），最后考虑采用个体防护装备。

由于在理论上不可能将风险降为零，在采取措施后应将固有风险的等级降低到可接受水平。从而，可设定一个可以接受的风险等级，一旦风险降低至该等级时则可接受该风险，不一定要再采取更严格的措施。通常低风险即为可接受水平，在风险无法降低时，中等的风险也可接受，但需要在后期的风险回顾中进行严格监控。难点在于制定风险接受标准。对风险接受的判断必须慎重，需要丰富的经验以及专家的帮助，可根据实验室的实际运行和操作进行调整。应建立规范操作方法、对操作人员进行技术培训以减低事故发生概率。通过限定操作在安全柜内进行以缩小和局限污染范围；建立意外事故应急处置预案；采用符合要求的个体防护装备避免人员在操作与应急处置过程中感染，以降低风险发生的可能性或发生后的危害程度。

在风险控制与最后的风险回顾之间，通常会有风险交流（risk communication）的步骤，即在采取了风险控制措施后，需通过实验室运行和操作后检验所制定的风险控制措施是否有效，是否可将风险降低至预期的等级。

风险再评估是指通过一段时间的运行后，应结合新的知识与实践经验对整个系统的风险进行回顾性审核。实验室风险管理应是持续性动态过程，应建立并实施对事件进行定期回顾的机制，无论是计划内的（预先制订的检查、审计、审核、回顾分析及变更控制），还是计划外的（如：调查意外事故及其产生的原因）。风险再评估的频率取决于风险水平，应包括对风险认可、决定和再审议。

实验室风险评估和风险控制活动的复杂程度决定于实验室所存在危险的特性。目前国内多数实验室采用描述风险来源、确定预防措施的方式进行评估，并将风险与控制措施写入实验操作标准程序（standard operation procedure，SOP），该方式相对简单易行，基本可满足防范要求。然而，该法无法对风险发生的可能性、后果的严重性、采取措施后的效果等因素进行综合评估。

风险的分析与评价可用定性或定量的方法确定风险发生的可能性和严重性，风险评估结果的表述可以用0～100%的范围来表示其概率。对生物安全评价而言，可变因素难以进行概率描述，也可用高、中、低这样的定性描述来表示。评估内容应包括固有风险评估（未采取措施前的风险）和残留风险评估（采取措施后的风险）两部分。

对已经识别的风险确定危害产生的后果（表2-1）和产生后果的可能性（表2-2）进行评估。在此基础上，采用数字分级方式填写固有风险（IR），表2-3中后果的严重程度是重要的指标。对可能产生灾难性后果者无论发生的频率有多低，均视为高度风险。对高度风险者需要立即采取控制措施，对中度风险者必须明确后续处理时各人的职责，对低度风险者采用常规程序处理。

应对存在的风险采取措施后进行有效性评估（表2-4），并将评估结果与固有风险结合进行评判，即在评估表格上就固有风险和现有风险控制措施情况进行联合分析（表2-5）。在采取有效风险控制措施后，如效果很好可使固有高风险降低为中等风险；如果固有风险控制措施不足，则固有低风险潜在危险将增大。高度残余风险应立即给予关注并解决，中度残余风险应制定改进措施并在短期内给予解决，轻度残余风险则需要长期给予关注。

有效合理的风险评估体系应包括风险管理、风险专业评估和风险预警与监控等体系。

生物安全实验室风险评估及管理小组、实验室风险管理领导机构负责评估实验室各类风险，协助生物安全委员会决策及对风险评估报告进行审核批准与监督。

风险评估应由具有经验的专业人员负责（不限于本机构内部的人员），通常可由生物安全委员会组织有关专家进行病原微生物的风险评估。参与风险评估的人员应是在本领域具有丰富经验的专家，包括实验室专家、设备专家、设施专家、临床医生以及生物安全专家等。

由实验室生物安全管理与监督人员组成，主要职能是建立风险预警指标进行日常检查与监控，包括风险发生的水平及概率，所产生的后果以及现有控制手段是否充分，根据损失大小设置优先级，划分类别，力求做到实时监控。

风险评估的范围与要求主要根据《实验室生物安全通用要求》（GB 19489—2008）以及国内外分析管理的文献，如《实验室生物风险管理标准》（CEN CWA 15793—2008）。风险分析的数据资料可从国家监测数据、流行病学调查、行业调查、已发表的科研论著、医学微生物学和传染病学教科书中查询获得。风险控制措施、安全操作规程等应以国家主管部门和世界卫生组织、世界动物卫生组织、国际标准化组织等机构或行业权威机构发布的指南、标准等为依据。任何新技术在使用前应经过充分验证，使用时应得到相关主管部门的批准。风险分析与控制的依据也可从实验室积累的数据以及实验室事故分析与处置经验获得。

风险评估管理应包括：①应记录风险评估过程，评估记录可简可繁。简单记录可描述某项工作程序、存在的风险及预防措施。详细记录应分析每一风险产生的原因、可能造成的危害、应对措施以及采取措施后的预期结果、残留风险以及注意事项。风险评估报告应注明评估时间、编审人员和所依据的法规、标准、研究报告、权威资料、数据等。②应定期进行风险评估或复审风险评估报告，评估的周期应根据实验室活动和风险特征确定。③危险识别、风险评估和风险控制的过程不仅适用于实验室、设施设备的常规运行期间，也适用于实验室、设施设备进行清洁、维护或关停期间。④除考虑实验室自身活动的风险外，还应考虑外部人员的活动、使用外部提供的物品或服务所带来的风险。⑤风险评估报告一般应得到实验室所在单位生物安全管理部门的批准。对未列入国家相关主管部门发布的病原微生物名录的生物因子的风险评估报告，使用时应得到相关主管部门的批准。⑥应在风险评估的基础上确定安全管理目标，并根据实验室活动的复杂性和风险程度定期评审安全管理目标和制订监督检查计划。