引言

建立信息安全部門主要是為了管理信息技術(shù)風(fēng)險。風(fēng)險管理是機構(gòu)內(nèi)每一 位管理者的主要責(zé)任之一。在任何設(shè)計良好的風(fēng)險管理計劃中，需要有兩個正式的工作過程：

*首先，風(fēng)險識別和評估，這正是本章討論的問題

*其次，風(fēng)險控制，是下一章討論的主題

每一位管理者無論他身處下述3個利益團(tuán)體中的哪一個，必須按如下準(zhǔn)則來降低風(fēng)險：

*一般管理層必須構(gòu)建IT和信息安全功能以成功保護(hù)包括數(shù)據(jù)、硬件、軟件、過程和人力資源在內(nèi)的機構(gòu)的信息資產(chǎn)。

*IT管理層應(yīng)當(dāng)服務(wù)于機構(gòu)中更廣泛的信息技術(shù)的需要，同時開拓專門技能和啟發(fā)信息安全團(tuán)體的洞察力。

*當(dāng)信息安全管理層與其他利益團(tuán)體合作時，它應(yīng)當(dāng)表現(xiàn)出技巧性、專業(yè)性以及靈活性，以協(xié)調(diào)信息系統(tǒng)利益和安全之間的平衡。