风险管理：识别和评估风险引言

引言

建立信息安全部门主要是为了管理信息技术风险。风险管理是机构内每一 位管理者的主要责任之一。在任何设计良好的风险管理计划中，需要有两个正式的工作过程：

*首先，风险识别和评估，这正是本章讨论的问题

*其次，风险控制，是下一章讨论的主题

每一位管理者无论他身处下述3个利益团体中的哪一个，必须按如下准则来降低风险：

*一般管理层必须构建IT和信息安全功能以成功保护包括数据、硬件、软件、过程和人力资源在内的机构的信息资产。

*IT管理层应当服务于机构中更广泛的信息技术的需要，同时开拓专门技能和启发信息安全团体的洞察力。

*当信息安全管理层与其他利益团体合作时，它应当表现出技巧性、专业性以及灵活性，以协调信息系统利益和安全之间的平衡。