風(fēng)險(xiǎn)管理的責(zé)任

3個(gè)利益團(tuán)體都要承擔(dān)機(jī)構(gòu)風(fēng)險(xiǎn)管理的責(zé)任，而且每個(gè)都要在其中擔(dān)當(dāng)一個(gè)特定的戰(zhàn)略角色。

*信息安全：由于信息安全團(tuán)體的成員最了解帶來(lái)風(fēng)險(xiǎn)的威脅和攻擊，他們通常在風(fēng)險(xiǎn)處理的過(guò)程中擔(dān)當(dāng)領(lǐng)導(dǎo)角色。

*信息技術(shù)：該團(tuán)體必須協(xié)助建立安全系統(tǒng)并確保它們的安全運(yùn)行。例如，IT 部門的運(yùn)作需要建立良好的備份方法以控制硬盤出錯(cuò)的風(fēng)險(xiǎn)。

*管理層和用戶：在經(jīng)過(guò)正確培訓(xùn)并對(duì)機(jī)構(gòu)面臨的威脅保持清醒頭腦時(shí)，該團(tuán)體能夠負(fù)責(zé)早期的檢測(cè)和響應(yīng)處理過(guò)程。其成員也要確保給信息安全和信息技術(shù)團(tuán)體分配足夠的資源（財(cái)力和人力）以滿足機(jī)構(gòu)需要。比如，業(yè)務(wù)主管必須確保定單的記錄在發(fā)生數(shù)據(jù)輸入錯(cuò)誤或交易失敗時(shí)仍然完整無(wú)缺。 用戶必須意識(shí)到對(duì)數(shù)據(jù)和系統(tǒng)的威脅，并經(jīng)過(guò)實(shí)踐培訓(xùn)以減少這種威脅。

上述3個(gè)利益團(tuán)體應(yīng)當(dāng)共同協(xié)作致力于處理每種風(fēng)險(xiǎn)——從全面的災(zāi)難（不論是自然的還是人為的）到員工造成的最小失誤。為此，他們必須積極參與以下工作：

*評(píng)估風(fēng)險(xiǎn)控制方法

*確定合算的控制方案

*獲得或配置合理的控制方案

*監(jiān)督執(zhí)行過(guò)程以確?？刂朴行?/p>

*風(fēng)險(xiǎn)識(shí)別，包括：

1.建立信息資產(chǎn)清單

2.對(duì)資產(chǎn)進(jìn)行合理的分類與組織給每一項(xiàng)資產(chǎn)賦予一定價(jià)值

3.確認(rèn)各類資產(chǎn)所面臨的威脅

4.把特定威脅與特定資產(chǎn)對(duì)應(yīng)起來(lái)以確認(rèn)易受威脅的資產(chǎn)