越来越多的企业,都开始成立具备信息安全管理职能的部门,他们也是进行风险评估和风险管理工作的主体。但因为权利和义务缺少明确的定义,导致这个部门在公司的权利得不到保障,真正实行风险评估的时候,缺乏积极的支持和配合,使得风险评估和风险管理系统没有真正地发挥自己的价值。
风险评估和风险管理工作如何来核算其工作量,如何评价其工作效率,也是风险评估和风险管理系统自身没有办法实现的。风险管理系统必须解决好以下三个重要的问题:
1.以适合企业的风险评估和风险管理标准为基础,结合企业的业务特点,制定一套具有很好的可操作的方法,作为风险评估和风险管理系统执行工作的依据。
2.成立信息安全管理部门,明确其任务,并在执行安全管理工作方面赋予相当的权利,以保证风险评估和风险管理系统真正发挥其价值。
3.借助必须的工作流系统,监督风险管理和风险评估工作的状态、过程和最终结果,以体现计算安全管理部门存在的价值。(T228)
