風險管理的責任

3個利益團體都要承擔機構風險管理的責任，而且每個都要在其中擔當一個特定的戰略角色。

*信息安全：由于信息安全團體的成員最了解帶來風險的威脅和攻擊，他們通常在風險處理的過程中擔當領導角色。

*信息技術：該團體必須協助建立安全系統并確保它們的安全運行。例如，IT 部門的運作需要建立良好的備份方法以控制硬盤出錯的風險。

*管理層和用戶：在經過正確培訓并對機構面臨的威脅保持清醒頭腦時，該團體能夠負責早期的檢測和響應處理過程。其成員也要確保給信息安全和信息技術團體分配足夠的資源（財力和人力）以滿足機構需要。比如，業務主管必須確保定單的記錄在發生數據輸入錯誤或交易失敗時仍然完整無缺。 用戶必須意識到對數據和系統的威脅，并經過實踐培訓以減少這種威脅。

上述3個利益團體應當共同協作致力于處理每種風險——從全面的災難（不論是自然的還是人為的）到員工造成的最小失誤。為此，他們必須積極參與以下工作：

*評估風險控制方法

*確定合算的控制方案

*獲得或配置合理的控制方案

*監督執行過程以確保控制有效

*風險識別，包括：

1.建立信息資產清單

2.對資產進行合理的分類與組織給每一項資產賦予一定價值

3.確認各類資產所面臨的威脅

4.把特定威脅與特定資產對應起來以確認易受威脅的資產