下载掌阅APP,畅读海量书库
立即打开
环境建立是信息安全风险管理的第一步。所谓环境建立是指确定风险管理的对象和范围,做好实施风险管理的准备,进行相关信息的调查和分析,确定风险管理方法、定义基本准则、组建风险管理团队,对信息安全风险管理项目进行规划和准备,保障后续风险管理活动顺利进行的过程 [4] 。
风险管理过程的环境应根据对组织运行的外部和内部环境的理解来确定。风险管理过程的外部和内部环境在设计组织风险管理框架时已建立。
外部和内部环境是指有助于理解组织、寻求界定和实现目标的组织内部和外部的规定、承诺、关系和文化等相关信息 [5] 。
组织的内部环境是在实现目标过程中所面临的组织内部的历史、现在和未来的各种相关信息。
信息安全风险管理过程要与组织的文化、经营过程和结构相适应,包括组织内影响其风险管理的任何事物。组织需明确内部环境信息,因为风险可能会影响组织战略、日常经营或项目运营等方面,从而会进一步影响组织的价值、信用和承诺等。风险管理是在组织的特定目标和管理条件下进行的,其具体活动的目标和有关准则应放到组织整体目标的环境中考虑。
组织的内部环境包括但不局限于:
(1)组织愿景、使命和价值观;
(2)组织治理、组织结构及其角色分工和责任;
(3)组织发展目标和策略;
(4)组织的文化;
(5)组织采用的标准、准则和模型;
(6)组织获取资源和相关知识(例如资本、时间、人员、知识产权、流程、系统和技术)的能力;
(7)数据、信息系统、信息流、正式或非正式的决策流程;
(8)内部利益相关方的观点、价值观和相互依赖关系;
(9)合同中的关于内部关系和承诺的条款。
组织的外部环境是组织在实现目标过程中所面临的外界的历史、现在和未来的各种相关信息。
为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点,组织需要了解外部环境信息。外部环境以组织所处的整体环境为基础,包括法律和监管要求、利益相关者的诉求和与具体风险管理相关的其他方面的信息等。
组织的外部环境包括但不局限于:
(1)国际、国内社会、政治、经济、自然、文化、科技、法律、金融,以及竞争环境因素;
(2)与组织相关的监管、财务或技术限制;
(3)影响组织目标的关键驱动因素和趋势;
(4)外部利益相关方的需求、观点、价值观和相互依赖关系;
(5)合同中的关于外部关系和承诺的条款;
(6)网络环境中外部依赖关系及其复杂性。