信息技术是推动美国经济发展、扩大美国工业全球市场竞争优势、确保联邦政府为公民提供更优质服务以及提高国家生产力的引擎——这一点已成为人们的广泛共识。一个机构,无论来自公共还是私营部门,都要靠科技密集型信息系统来成功执行任务和业务功能。信息系统所包含的实体多种多样,其中从高端超级计算机、工作站、个人计算机、移动电话和个人数字助理,到专业化系统(如武器系统、电信系统、工业/流程控制系统和环境控制系统等),称得上应有尽有。信息系统面临着严重威胁,这些威胁恶意利用已知和未知脆弱性,破坏正由信息系统处理、存储或传输的信息的保密性、完整性或可用性,从而给机构运行(包括任务、功能、形象或信誉)、机构资产、人员、其他机构和国家带来不利影响。信息和信息系统面临的威胁包括,蓄意攻击、环境破坏和人为/机器错误;它们会对美国的国家和经济安全利益造成巨大伤害。因此,机构的各级领导人和经理们必须清楚自己的职责并在管理信息安全风险方面切实负起责任来——也就是说,要管好由运行和使用支持机构任务和业务功能的信息系统带来的风险。
机构风险包含多种类型,例如,方案管理风险、投资风险、预算风险、法律责任风险、库存风险、供应链风险和安全风险。与信息系统的运行和使用相关的安全风险,只是机构高层领导/执行官在日常风险管理工作中必须高度重视的机构风险的诸多组成成分之一而已。有效的风险管理可令机构在高度复杂并相互连接的环境中平稳运行,先进和旧有信息系统和谐搭配——机构正是依靠这些系统完成任务和执行与业务相关的重要功能的。机构领导人必须认识到,要想在运行和使用这些信息系统给我们带来的好处,与同一系统也会被敌对分子用来通过蓄意攻击、环境破坏或人为错误令任务或业务瘫痪的风险之间达到一种平衡,我们就必须基于风险作出有依据的明确决策。信息安全风险管理就像总体而言的风险管理一样,并没有形成一门完整科学。它只是将机构内负责战略规划、监督管理和日常运行的个人和团队的判断以最佳方式汇集到一起,为适当保护机构的任务和业务功能提供必要和充分的风险响应措施。
任务、任务/业务流程和支持这些任务/流程的信息系统之间存在着非常复杂的关系,因此需要从全机构一体化的视角来对风险进行管理。除非另有说明,本文凡提及风险一词的,均指产生于机构信息系统运行和使用的信息安全风险,其中包括机构内会对这些系统的设计、开发、执行和日常操作产生影响或作用的流程、规程和结构。信息安全在信息系统运行和使用风险管理中扮演的角色,对于机构实现自身战略目的和目标也是至为关键的。以往,机构高层领导/执行官曾以一种狭窄视角把信息安全视为技术问题,或者孤立地看待信息安全问题,与机构风险、传统管理和生命周期流程完全脱离。视野的极度局限,往往导致在考虑信息安全风险有多大可能影响机构成功执行自身任务和业务功能时,认为它们与其他机构风险一样,从而得出不恰当的结论。把信息安全纳入机构实现任务/业务成功的更广阔背景之下,旨在:
1、确保高层领导/执行官认识到管理信息安全风险的重要性并为管理此类风险建立适当的治理体系(governance structure)。
2、确保机构的风险管理流程能在机构、任务/业务流程和信息系统三个层面有效贯彻执行。
3、推动机构形成这样一种文化氛围,即把信息安全问题放到任务/业务流程设计、总体企业架构定义以及系统开发生命周期进程的背景下去考虑。
4、帮助负责信息系统执行或运行的人员更好地理解,与其所负责的系统相关的信息安全风险会怎样转变成波及整个机构的风险,最终对任务/业务流程造成影响。
