3.1.2 环境建立目的和依据

环境建立是为了明确信息安全风险管理的范围和对象，设定信息安全风险管理所必需的基本准则，确定对象的特性和安全要求，并建立运行信息安全风险管理的适当的组织，对信息安全风险管理项目进行规划和准备，保障后续的风险管理活动顺利进行的过程 ^[4] 。因为风险管理是在组织目标和活动的背景下进行的，组织因素也可能是风险的来源，同时风险管理的目标可能与整个组织的目标相关联，所以环境建立显得尤为重要。

环境建立的主要依据包括国家、地区或行业的相关政策、法律、法规和标准，以及风险管理对象的业务目标、特性、外部和内部环境 ^[4] ，具体体现在以下内容（但不局限于下述内容）。

（1）适用的法律、法规，例如《中华人民共和国网络安全法》《中华人民共和国保密法》等；

（2）现行国际标准、国家标准、行业标准。例如：国际标准ISO 31000、ISO/IEC 27005，国家标准GB/T 24364、GB/T 20984和GB/T 22239等；

（3）组织发展战略，相关业务职能；

（4）行业主管机关的业务系统的监管要求和制度；

（5）与网络安全保护等级相应的基本要求；

（6）被评估组织的安全要求；

（7）系统自身的实时性或性能要求等。

根据风险管理依据，应考虑风险的安全需求来选择具体的风险评估、风险处置的方法和工具，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。 2Yf291NMUFbmVz5ONYoNc0ViMPKOmG7gnHmOv5TfNKnVuwAQiyT3Lp7CJYjDSRyI