五、信息安全风险管理的角色划分
    信息安全风险管理涉及人员按功能层面可分为决策层、管理层、执行层、支持层和用户层，在每个功能层面上按功能类别可进一步分出功能角色。每个功能角色被赋予相应的职责。表1对信息安全风险管理的角色及其责任按功能类别进行了归纳。
    表1 信息安全风险管理的角色与职责
    实际中的角色有更加细分的具体名称。这里为方便理解起见，统一按功能类别给出角色名称。实际中的角色名称可以影射到这里相应的角色名称上。
    一个角色可以由一个或多个人担当，反过来，一个人可以担当一个或多个角色，但必须遵守一些原则。这些原则包括但不限于：
    权力分散原则——防止自我或相互包庇。
    人员备用原则——防止责任人缺位。
    多人监管原则——防止重要资产受损。
    最小权力原则——防止越权行为。
    责任连带原则——防止责任推卸。
    六、信息安全风险管理的一般过程
    信息安全风险管理遵循风险管理的一般过程。它包括五大过程要素，即背景建立、风险评估、风险处理、监视与评审和沟通与咨询。图4描绘了上述风险管理过程要素及其相互关系。
    图4 风险管理过程
    风险管理过程遵循一般管理的PDCA模型，包括规划（Plan）、实施（Do）、检查（Check）和处置（Act）四个基本阶段，也是一个持续改进和迭代式循环的过程。背景建立和风险评估对应于P阶段，风险处理对应于D阶段，监视与评审对应于C阶段，进入下一次风险管理过程周期对应于A阶段。对于风险管理，监视与评审阶段中提出的任何改进建议都需要经过已建背景的确认和风险的再次评估才能形成改进措施及其实施计划，然后作为改进的风险处理予以实施。因此，风险管理的A阶段总是直接进入新的一轮风险管理周期。
    背景建立是风险管理的准备，为后续过程建立活动背景，其内容包括机构的外部和内部背景以及风险管理背景。
    风险评估是风险管理的依据，为其他过程提供决策依据，其过程包括风险识别、风险分析和风险评价三个子阶段，其中，风险分析又包括风险估算和风险计算两个子阶段。直到得出满意的风险评估结果，才能进入下一个阶段，即风险处理；否则，要进行已建背景的确认和风险的再次评估。
    目前，被公认为有效的风险评估方法是结合初始评估和详细评估的循环迭代方法，即，第一次风险评估为初始评估，以识别和分析出所有的高风险为目的，覆盖评估范围内的所有资产，并集中在资产的业务价值及其面临的严重威胁上，这是一种横向评估；如果必要再进行第二次甚至更多次的风险评估，这些评估一般为详细评估，以深入评估面临的高风险为目的，针对具有高风险的资产进行深入细致的风险识别、分析和评价，这是一种纵深评估。这种评估方法在评估成本和确保高风险被适当评估之间提供了良好平衡，使得以合理的评估成本确保最严重的风险得到最详细的关注。其中，风险计算是由笔者在进行了广泛和深入研究的基础上引入和定义的。风险计算包括单项风险计算和综合风险计算。单项风险计算是对某一风险场景（即某一威胁主体，采用某一威胁行为，针对某一资产，利用该资产的某一脆弱性实施威胁时的风险）的计算；综合风险计算是根据评估者关注风险的角度对单项风险的计算结果进行的综合计算，计算结果包括某一威胁主体产生的综合风险、某一威胁行为产生的综合风险、某一威胁主体利用某一威胁行为产生的综合风险、某一资产因某一脆弱性而面临的综合风险、某一资产面临的综合风险、由若干资产组成的系统面临的综合风险等。

(责任编辑：adminadmin2008)