6. 溝通與咨詢

溝通咨詢為信息安全風險管理四個步驟相關人員提供支撐。溝通的目的是為直接參與風險管理的人員提供交流途徑，以保持參與人員之間的協調一致，共同實現安全目標。咨詢是為所有相關人員提供學習途徑，以提高風險意識、知識和技能，配合實現安全目標。因此，作為一個安全管理人員，首先應該具備的是溝通能力。 溝通咨詢過程應實現兩方面的目標。

◇面向參與人員的溝通：與決策層溝通，得到其理解和批準；與管理層和執行層溝通，得到其理解和協作；與支持層溝通，使其了解并得到其支持；與用戶層溝通，使其了解并得到其配合。

◇面向相關人員的咨詢：為所有層面的相關人員提供咨詢和培訓，提高其安全意識、 知識和技能。

溝通咨詢涉及各層面的人員，當溝通咨詢的雙方角色不同，所采取的方式亦應有所不同。

溝通咨詢的各種方式如下：

◇指導和檢查：機構上級對下級工作的指導和檢查，用以保證工作質量和效率，適用于決策層對管理層、決策層對執行層和管理層對執行層；

◇表態：機構高層支持信息安全風險管理的對外表態，用以得到外界認同和支持，適用于決策層對支持層和決策層對用戶層；

◇匯報：機構下級對上級做工作匯報，用以得到上級認可，適用于管理層對決策層、 執行層對決策層和執行層對管理層；

◇宣傳和介紹：機構的信息系統和信息安全風險管理的對外宣傳和介紹，用以得到外界，支持和配合，適用于管理層對支持層、管理層對用戶層和執行層對支持層；

◇培訓和咨詢：專業人員對信息安全風險管理相關人員的培訓和咨詢，用以提高人員的安全意識、知識和技能，適用于執行層對用戶層、支持層對決策層、支持層對管理層和支

持層對執行層；

◇反饋：機構信息系統使用者對機構信息安全風險管理的意見反饋，用以了解實施效果和用戶需求，適用于用戶層對決策層、用戶層對管理層、用戶層對執行層和用戶層對支持層：

◇交流：同級或同行之間的對等交流，用以共享信息和協調工作，適用于決策層對決策層、管理層對管理層、執行層對執行層、支持層對支持層和用戶層對用戶層。