風險管理

知己知彼，百戰(zhàn)不殆；知己而不知彼，勝負各半；既不知己也不知彼，每戰(zhàn)皆敗。

以上觀點是2400多年前的中國軍事家孫子提出的，這對當今信息安全的戰(zhàn)略仍然有著極大的指導意義。信息安全的戰(zhàn)略戰(zhàn)術(shù)在許多方面與運用在常規(guī)戰(zhàn)爭中的戰(zhàn)略戰(zhàn)術(shù)類似。信息安全管理者和技術(shù)人員是信息的保衛(wèi)者。機構(gòu)的信息資產(chǎn)不斷遭到威脅和攻擊。多層次防御是任何信息安全計劃的基礎(chǔ)。因此，根據(jù)孫子的思想，要減少風險，機構(gòu)就必須既要知己也要知彼。這意味著3個利益團體的管理者首先必須了解機構(gòu)運作的薄弱環(huán)節(jié)所在；其次了解機構(gòu)的信息是如何處理、存儲和傳送以及機構(gòu)有何種資源可用，只有這樣才能制定出合理的戰(zhàn)略防御計劃。

知己

無論何種機構(gòu)，在運作時總會遇到一定的風險。不管是在做雇傭決定、營銷產(chǎn)品甚至是做出決定為機構(gòu)選址建房時，都會有風險存在。風險會滲透到機構(gòu)的日常運作中，如果管理不善，就會導致運作失敗。

為了更好地管理機構(gòu)的風險，其管理者應當懂得信息是如何處理、存儲和傳送的。一旦有了這些知識，他們就能夠制定一項深入的風險管理計劃。

注意，有了風險管理計劃并不意味著機構(gòu)的資產(chǎn)就能得到完全的保護。風險管理機制常常可以得到實施，但接下來卻不能得到維護并平衡運行。風險管理是一個過程，正如第8章所描述的，防護與控制也是一個從設(shè)計到實施的過程，而非安裝完就可忽略的設(shè)備。

知彼

一旦機構(gòu)意識到其薄弱之處，管理者就要采納孫子的第二條格言：知彼。這意味著識別、檢測和理解機構(gòu)信息資產(chǎn)所面臨的威脅。管理者必須有能力充分識別給機構(gòu)及其信息資產(chǎn)的安全帶來風險的那些威脅。風險管理是發(fā)現(xiàn)與評估一 個機構(gòu)運作風險的過程，同時也是一個確定怎樣控制和減少那些風險的過程。