<tt id="8hexo"></tt> 
?
信息技術是推動美國經濟發展、擴大美國工業全球市場競爭優勢、確保聯邦政府為公民提供更優質服務以及提高國家生產力的引擎——這一點已成為人們的廣泛共識。一個機構,無論來自公共還是私營部門,都要靠科技密集型信息系統來成功執行任務和業務功能。信息系統所包含的實體多種多樣,其中從高端超級計算機、工作站、個人計算機、移動電話和個人數字助理,到專業化系統(如武器系統、電信系統、工業/流程控制系統和環境控制系統等),稱得上應有盡有。信息系統面臨著嚴重威脅,這些威脅惡意利用已知和未知脆弱性,破壞正由信息系統處理、存儲或傳輸的信息的保密性、完整性或可用性,從而給機構運行(包括任務、功能、形象或信譽)、機構資產、人員、其他機構和國家帶來不利影響。信息和信息系統面臨的威脅包括,蓄意攻擊、環境破壞和人為/機器錯誤;它們會對美國的國家和經濟安全利益造成巨大傷害。因此,機構的各級領導人和經理們必須清楚自己的職責并在管理信息安全風險方面切實負起責任來——也就是說,要管好由運行和使用支持機構任務和業務功能的信息系統帶來的風險。
?
機構風險包含多種類型,例如,方案管理風險、投資風險、預算風險、法律責任風險、庫存風險、供應鏈風險和安全風險。與信息系統的運行和使用相關的安全風險,只是機構高層領導/執行官在日常風險管理工作中必須高度重視的機構風險的諸多組成成分之一而已。有效的風險管理可令機構在高度復雜并相互連接的環境中平穩運行,先進和舊有信息系統和諧搭配——機構正是依靠這些系統完成任務和執行與業務相關的重要功能的。機構領導人必須認識到,要想在運行和使用這些信息系統給我們帶來的好處,與同一系統也會被敵對分子用來通過蓄意攻擊、環境破壞或人為錯誤令任務或業務癱瘓的風險之間達到一種平衡,我們就必須基于風險作出有依據的明確決策。信息安全風險管理就像總體而言的風險管理一樣,并沒有形成一門完整科學。它只是將機構內負責戰略規劃、監督管理和日常運行的個人和團隊的判斷以最佳方式匯集到一起,為適當保護機構的任務和業務功能提供必要和充分的風險響應措施。
?
任務、任務/業務流程和支持這些任務/流程的信息系統之間存在著非常復雜的關系,因此需要從全機構一體化的視角來對風險進行管理。除非另有說明,本文凡提及風險一詞的,均指產生于機構信息系統運行和使用的信息安全風險,其中包括機構內會對這些系統的設計、開發、執行和日常操作產生影響或作用的流程、規程和結構。信息安全在信息系統運行和使用風險管理中扮演的角色,對于機構實現自身戰略目的和目標也是至為關鍵的。以往,機構高層領導/執行官曾以一種狹窄視角把信息安全視為技術問題,或者孤立地看待信息安全問題,與機構風險、傳統管理和生命周期流程完全脫離。視野的極度局限,往往導致在考慮信息安全風險有多大可能影響機構成功執行自身任務和業務功能時,認為它們與其他機構風險一樣,從而得出不恰當的結論。把信息安全納入機構實現任務/業務成功的更廣闊背景之下,旨在:
?
1、確保高層領導/執行官認識到管理信息安全風險的重要性并為管理此類風險建立適當的治理體系(governance structure)。
2、確保機構的風險管理流程能在機構、任務/業務流程和信息系統三個層面有效貫徹執行。
3、推動機構形成這樣一種文化氛圍,即把信息安全問題放到任務/業務流程設計、總體企業架構定義以及系統開發生命周期進程的背景下去考慮。
4、幫助負責信息系統執行或運行的人員更好地理解,與其所負責的系統相關的信息安全風險會怎樣轉變成波及整個機構的風險,最終對任務/業務流程造成影響。
