引言

建立信息安全部門主要是為了管理信息技術(shù)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理是機(jī)構(gòu)內(nèi)每一 位管理者的主要責(zé)任之一。在任何設(shè)計(jì)良好的風(fēng)險(xiǎn)管理計(jì)劃中，需要有兩個(gè)正式的工作過程：

*首先，風(fēng)險(xiǎn)識(shí)別和評(píng)估，這正是本章討論的問題

*其次，風(fēng)險(xiǎn)控制，是下一章討論的主題

每一位管理者無論他身處下述3個(gè)利益團(tuán)體中的哪一個(gè)，必須按如下準(zhǔn)則來降低風(fēng)險(xiǎn)：

*一般管理層必須構(gòu)建IT和信息安全功能以成功保護(hù)包括數(shù)據(jù)、硬件、軟件、過程和人力資源在內(nèi)的機(jī)構(gòu)的信息資產(chǎn)。

*IT管理層應(yīng)當(dāng)服務(wù)于機(jī)構(gòu)中更廣泛的信息技術(shù)的需要，同時(shí)開拓專門技能和啟發(fā)信息安全團(tuán)體的洞察力。

*當(dāng)信息安全管理層與其他利益團(tuán)體合作時(shí)，它應(yīng)當(dāng)表現(xiàn)出技巧性、專業(yè)性以及靈活性，以協(xié)調(diào)信息系統(tǒng)利益和安全之間的平衡。