1.背景建立
背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。背景建立是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,对信息安全风险管理项目进行规划和准备,保障后续的风险管理活动顺利进行。背景是建立在业务需求的基础上,通过有效的风险评估和国家、地区、行业相关法律法规及标准的约束下获得背景依据。
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析四个阶段。在信息安全风险管理过程中,对象确立过程是一次信息安全风险管理主循环的起始,
为风险评估提供输入,而监控审查和沟通咨询贯穿其四个阶段。