风险管理的责任
3个利益团体都要承担机构风险管理的责任,而且每个都要在其中担当一个特定的战略角色。
*信息安全:由于信息安全团体的成员最了解带来风险的威胁和攻击,他们通常在风险处理的过程中担当领导角色。
*信息技术:该团体必须协助建立安全系统并确保它们的安全运行。例如,IT 部门的运作需要建立良好的备份方法以控制硬盘出错的风险。
*管理层和用户:在经过正确培训并对机构面临的威胁保持清醒头脑时,该团体能够负责早期的检测和响应处理过程。其成员也要确保给信息安全和信息技术团体分配足够的资源(财力和人力)以满足机构需要。比如,业务主管必须确保定单的记录在发生数据输入错误或交易失败时仍然完整无缺。 用户必须意识到对数据和系统的威胁,并经过实践培训以减少这种威胁。
上述3个利益团体应当共同协作致力于处理每种风险——从全面的灾难(不论是自然的还是人为的)到员工造成的最小失误。为此,他们必须积极参与以下工作:
*评估风险控制方法
*确定合算的控制方案
*获得或配置合理的控制方案
*监督执行过程以确保控制有效
*风险识别,包括:
1.建立信息资产清单
2.对资产进行合理的分类与组织给每一项资产赋予一定价值
3.确认各类资产所面临的威胁
4.把特定威胁与特定资产对应起来以确认易受威胁的资产