引言

建立信息安全部門主要是為了管理信息技術風險。風險管理是機構內每一 位管理者的主要責任之一。在任何設計良好的風險管理計劃中，需要有兩個正式的工作過程：

*首先，風險識別和評估，這正是本章討論的問題

*其次，風險控制，是下一章討論的主題

每一位管理者無論他身處下述3個利益團體中的哪一個，必須按如下準則來降低風險：

*一般管理層必須構建IT和信息安全功能以成功保護包括數據、硬件、軟件、過程和人力資源在內的機構的信息資產。

*IT管理層應當服務于機構中更廣泛的信息技術的需要，同時開拓專門技能和啟發信息安全團體的洞察力。

*當信息安全管理層與其他利益團體合作時，它應當表現出技巧性、專業性以及靈活性，以協調信息系統利益和安全之間的平衡。