信息安全风险管理与实践最新章节_（英）伊恩·里德帕斯著

这里的信息安全风险管理组织是指组织内部成立的信息安全风险管理机构，负责确定和保持信息安全风险管理过程的角色和责任。以下是该组织的主要职责：

（1）制定适合组织的信息安全风险管理方针、原则、计划、方法和过程；

（2）明确利益相关方并进行沟通；

（3）确定组织内部和外部所有各方的角色和职责；

（4）在组织和利益相关方之间建立所需的关系，包括建立利益相关方与组织高层风险管理职能（例如运作风险管理）部门的联系，以及建立本信息安全风险管理组织与其他相关项目或活动的联系；

（5）确定信息安全风险管理批准监督的流程和路径；

（6）保存、记录和规范信息安全风险管理文档。

信息安全风险管理组织应由组织的高层管理者如决策层来批准。