风险管理
知己知彼,百战不殆;知己而不知彼,胜负各半;既不知己也不知彼,每战皆败。
以上观点是2400多年前的中国军事家孙子提出的,这对当今信息安全的战略仍然有着极大的指导意义。信息安全的战略战术在许多方面与运用在常规战争中的战略战术类似。信息安全管理者和技术人员是信息的保卫者。机构的信息资产不断遭到威胁和攻击。多层次防御是任何信息安全计划的基础。因此,根据孙子的思想,要减少风险,机构就必须既要知己也要知彼。这意味着3个利益团体的管理者首先必须了解机构运作的薄弱环节所在;其次了解机构的信息是如何处理、存储和传送以及机构有何种资源可用,只有这样才能制定出合理的战略防御计划。
知己
无论何种机构,在运作时总会遇到一定的风险。不管是在做雇佣决定、营销产品甚至是做出决定为机构选址建房时,都会有风险存在。风险会渗透到机构的日常运作中,如果管理不善,就会导致运作失败。
为了更好地管理机构的风险,其管理者应当懂得信息是如何处理、存储和传送的。一旦有了这些知识,他们就能够制定一项深入的风险管理计划。
注意,有了风险管理计划并不意味着机构的资产就能得到完全的保护。风险管理机制常常可以得到实施,但接下来却不能得到维护并平衡运行。风险管理是一个过程,正如第8章所描述的,防护与控制也是一个从设计到实施的过程,而非安装完就可忽略的设备。
知彼
一旦机构意识到其薄弱之处,管理者就要采纳孙子的第二条格言:知彼。这意味着识别、检测和理解机构信息资产所面临的威胁。管理者必须有能力充分识别给机构及其信息资产的安全带来风险的那些威胁。风险管理是发现与评估一 个机构运作风险的过程,同时也是一个确定怎样控制和减少那些风险的过程。