风险管理过程之沟通与咨询

6. 沟通与咨询

沟通咨询为信息安全风险管理四个步骤相关人员提供支撑。沟通的目的是为直接参与风险管理的人员提供交流途径，以保持参与人员之间的协调一致，共同实现安全目标。咨询是为所有相关人员提供学习途径，以提高风险意识、知识和技能，配合实现安全目标。因此，作为一个安全管理人员，首先应该具备的是沟通能力。 沟通咨询过程应实现两方面的目标。

◇面向参与人员的沟通：与决策层沟通，得到其理解和批准；与管理层和执行层沟通，得到其理解和协作；与支持层沟通，使其了解并得到其支持；与用户层沟通，使其了解并得到其配合。

◇面向相关人员的咨询：为所有层面的相关人员提供咨询和培训，提高其安全意识、 知识和技能。

沟通咨询涉及各层面的人员，当沟通咨询的双方角色不同，所采取的方式亦应有所不同。

沟通咨询的各种方式如下：

◇指导和检查：机构上级对下级工作的指导和检查，用以保证工作质量和效率，适用于决策层对管理层、决策层对执行层和管理层对执行层；

◇表态：机构高层支持信息安全风险管理的对外表态，用以得到外界认同和支持，适用于决策层对支持层和决策层对用户层；

◇汇报：机构下级对上级做工作汇报，用以得到上级认可，适用于管理层对决策层、 执行层对决策层和执行层对管理层；

◇宣传和介绍：机构的信息系统和信息安全风险管理的对外宣传和介绍，用以得到外界，支持和配合，适用于管理层对支持层、管理层对用户层和执行层对支持层；

◇培训和咨询：专业人员对信息安全风险管理相关人员的培训和咨询，用以提高人员的安全意识、知识和技能，适用于执行层对用户层、支持层对决策层、支持层对管理层和支

持层对执行层；

◇反馈：机构信息系统使用者对机构信息安全风险管理的意见反馈，用以了解实施效果和用户需求，适用于用户层对决策层、用户层对管理层、用户层对执行层和用户层对支持层：

◇交流：同级或同行之间的对等交流，用以共享信息和协调工作，适用于决策层对决策层、管理层对管理层、执行层对执行层、支持层对支持层和用户层对用户层。