2. 风险管理的目的和意义
风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡, 并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。
一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施是有成本的,因此对信息安全的成本必须像其它管理决策一样进行全面检查。一套合理的风险管理方法,可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力,以便最有效地实现其使命。
我国大力推行风险管理的总目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保障能力。
为了使风险管理有效,一个组织应在所有层面上符合以下原则。
风险管理创造和保护价值。风险管理致力于人员健康和人身安全、其它安全、法律法规符合性、公众认可、环境保护、产品质量、项目管理、运营效率、治理和名誉等方面的目标达成和绩效提升。
风险管理是所有组织过程不可分割的一个部分。风险管理不是从组织的主要活动和过程中分离出来的一个孤立活动。风险管理是管理职责的一部分,是组织过程的有机组成部分, 包括战略规划和所有项目和变更管理过程。
想了解更多IT资讯,请访问中培伟业官网:中培伟业