風險管理

知己知彼，百戰不殆；知己而不知彼，勝負各半；既不知己也不知彼，每戰皆敗。

以上觀點是2400多年前的中國軍事家孫子提出的，這對當今信息安全的戰略仍然有著極大的指導意義。信息安全的戰略戰術在許多方面與運用在常規戰爭中的戰略戰術類似。信息安全管理者和技術人員是信息的保衛者。機構的信息資產不斷遭到威脅和攻擊。多層次防御是任何信息安全計劃的基礎。因此，根據孫子的思想，要減少風險，機構就必須既要知己也要知彼。這意味著3個利益團體的管理者首先必須了解機構運作的薄弱環節所在；其次了解機構的信息是如何處理、存儲和傳送以及機構有何種資源可用，只有這樣才能制定出合理的戰略防御計劃。

知己

無論何種機構，在運作時總會遇到一定的風險。不管是在做雇傭決定、營銷產品甚至是做出決定為機構選址建房時，都會有風險存在。風險會滲透到機構的日常運作中，如果管理不善，就會導致運作失敗。

為了更好地管理機構的風險，其管理者應當懂得信息是如何處理、存儲和傳送的。一旦有了這些知識，他們就能夠制定一項深入的風險管理計劃。

注意，有了風險管理計劃并不意味著機構的資產就能得到完全的保護。風險管理機制常常可以得到實施，但接下來卻不能得到維護并平衡運行。風險管理是一個過程，正如第8章所描述的，防護與控制也是一個從設計到實施的過程，而非安裝完就可忽略的設備。

知彼

一旦機構意識到其薄弱之處，管理者就要采納孫子的第二條格言：知彼。這意味著識別、檢測和理解機構信息資產所面臨的威脅。管理者必須有能力充分識別給機構及其信息資產的安全帶來風險的那些威脅。風險管理是發現與評估一 個機構運作風險的過程，同時也是一個確定怎樣控制和減少那些風險的過程。