風(fēng)險管理的責(zé)任

3個利益團(tuán)體都要承擔(dān)機(jī)構(gòu)風(fēng)險管理的責(zé)任，而且每個都要在其中擔(dān)當(dāng)一個特定的戰(zhàn)略角色。

*信息安全：由于信息安全團(tuán)體的成員最了解帶來風(fēng)險的威脅和攻擊，他們通常在風(fēng)險處理的過程中擔(dān)當(dāng)領(lǐng)導(dǎo)角色。

*信息技術(shù)：該團(tuán)體必須協(xié)助建立安全系統(tǒng)并確保它們的安全運行。例如，IT 部門的運作需要建立良好的備份方法以控制硬盤出錯的風(fēng)險。

*管理層和用戶：在經(jīng)過正確培訓(xùn)并對機(jī)構(gòu)面臨的威脅保持清醒頭腦時，該團(tuán)體能夠負(fù)責(zé)早期的檢測和響應(yīng)處理過程。其成員也要確保給信息安全和信息技術(shù)團(tuán)體分配足夠的資源（財力和人力）以滿足機(jī)構(gòu)需要。比如，業(yè)務(wù)主管必須確保定單的記錄在發(fā)生數(shù)據(jù)輸入錯誤或交易失敗時仍然完整無缺。 用戶必須意識到對數(shù)據(jù)和系統(tǒng)的威脅，并經(jīng)過實踐培訓(xùn)以減少這種威脅。

上述3個利益團(tuán)體應(yīng)當(dāng)共同協(xié)作致力于處理每種風(fēng)險——從全面的災(zāi)難（不論是自然的還是人為的）到員工造成的最小失誤。為此，他們必須積極參與以下工作：

*評估風(fēng)險控制方法

*確定合算的控制方案

*獲得或配置合理的控制方案

*監(jiān)督執(zhí)行過程以確保控制有效

*風(fēng)險識別，包括：

1.建立信息資產(chǎn)清單

2.對資產(chǎn)進(jìn)行合理的分類與組織給每一項資產(chǎn)賦予一定價值

3.確認(rèn)各類資產(chǎn)所面臨的威脅

4.把特定威脅與特定資產(chǎn)對應(yīng)起來以確認(rèn)易受威脅的資產(chǎn)