每个机构都有一个使命(mission)。在这个数字化的时代里,当某个机构为了更好地支持其使命而使用自动化IT系统处理其信息时,风险管理就在保护该机构的信息资产及其业务,使其远离IT相关风险的过程中扮演着关键的角色。
有效的风险管理过程是一个成功的IT安全项目中的重要组成部分。一个机构的风险管理过程的首要目标应该是保护机构以及该机构完成其使命的能力,而不仅仅是其IT资产。因此,风险管理过程不应当被看作主要由运行和管理IT系统的专业人员所实施的技术功能,还应该视为机构的一项必不可少的管理功能。
风险是在考虑事件发生的概率及其可能造成的影响下,脆弱性被利用后所产生的实际负面影响,风险管理是识别风险、评估风险、采取步骤减缓风险并将它降到可接受的水平之内的过程。本文为开发一套有效的风险管理项目提供了基础,它包括的定义和实践指南对于评估和减缓IT系统中标识的风险而言是必不可少的。风险管理的最终目标是为了帮助一个机构更好地管理与IT相关的使命风险。
此外,本文还提供了如何选择成本有效的安全控制的信息。这些控制可以用来减缓风险、更好地保护使命关键性信息和处理、存储、传输这些信息的IT系统。
机构可以对本文中建议的综合过程和步骤选择扩充或删节,在管理与IT相关的使命风险时,机构可以根据其环境进行制定。
