帮助组织控制、指导和交流其网络安全风险管理活动。

　　安全治理和业务目标

　　安全和风险管理的标准方法有时会被误解。虽然是一个有用的起点，但预先确定的安全风险管理结构、业务流程、角色和要求的建立往往与业务中其他地方使用的正常决策结构和流程分开。这种分离会导致技术决策过程中的不确定性、延迟和混乱。

　　优先遵守或遵守预定义的安全治理结构，而不是寻找制定适合业务的有效风险管理决策的方法，可能会导致错误的控制感，从而导致错误的安全感。这并不是说治理活动是一件坏事。如果做得好，它会大大有助于有效的风险管理，从而有助于组织的安全。

　　投资风险管理，信任决策者

　　管理技术系统风险的管理方式应该与组织管理其他业务活动的方式没有什么不同。治理一词意味着组织积极控制其面临的风险，并为其业务安全提供指导。有效的安全治理要求组织投资于风险管理资源和信任决策者，以便拥有合适的人员、结构和流程。这使得在追求组织的业务目标和目标时做出明智的风险管理决策成为可能。

　　良好的安全治理是什么样的？

　　没有“一刀切”的治理方法可以适用于每个组织。组织应该建立适合他们的安全风险管理角色和决策制定流程（记住一些组织可能必须遵守强制要求）。

　　无论任何预先确定的结构或流程如何，在以下情况下更有可能采用良好的组织风险管理治理方法：

　　组织的业务目标和优先事项是明确的

　　组织关心的资产（或在实现其业务目标方面的价值）被清楚地确定

　　该组织部署了使风险管理有效所需的资源

　　组织明白，要使安全有效，它必须是“一切照旧”的一部分

　　组织确定谁对技术系统的安全负责（和负责）

　　组织在追求其业务目标时会（也不会）承担的风险是明确的

　　该组织确定谁负责（和负责）做出有关技术系统的安全决策

　　组织知道如何获取为这些安全决策提供信息所需的信息

　　组织确定谁负责（和负责）技术系统在整个系统生命周期中的持续安全

　　当组织决定适合他们的治理方法时，需考虑以下因素：

　　组织将如何在不同的业务、技术和决策环境中管理与技术相关的安全风险？

　　在管理与技术相关的安全风险（例如法律、监管或特定行业）时，哪些外部要求是相关的？

　　需要哪些业务流程来支持安全风险管理决策的制定？

　　需要哪些信息和文档才能使决策者做出及时、知情和客观的安全风险管理决策？

　　组织将如何确保负责管理风险（和制定风险管理决策）的人员拥有正确的业务和安全技能、知识和培训？

　　组织如何确信其管理风险的方法是有效的，以及它用于业务的系统足够安全以满足其需求？

　　组织将如何确保风险管理决策和行动的可追溯性和问责制？

　　组织将如何对其管理安全风险的方式进行持续改进？

　　委派决策

　　有效的网络安全风险管理建立在明智的决策之上。但是，组织内的高级管理层不需要做出所有风险管理决策。风险管理决策可以在组织内的所有级别进行，并委托给最能理解问题的人。决策者应该具备正确的安全、业务和技术知识（以及技能和经验），使他们能够在不同的业务环境中做出有效和及时的风险管理决策。

　　为了使安全风险管理有效，重要的是在负责组织安全的人员与有权代表他们做出风险管理决策的人员之间建立清晰的沟通渠道。在委托决策的情况下，委托的范围必须明确。也就是说，他们应该了解什么时候需要升级决策以获得业务中更高级的关注。

　　处理复杂性和不确定性

　　用于提供现代业务能力的技术系统可以被视为复杂的“社会技术”系统，在技术、人员和组织之间进行交互。这种复杂性意味着有时可以了解并管理安全风险的原因和影响，有时又无法了解。

　　风险管理中的不确定性是不可避免的，因为决策者和从业者为安全决策提供信息所需的信息可能不可用、未知或主观得出。这种不确定性因以下原因而加剧：

　　参与风险分析、评估和决策过程的人员的偏见

　　方法和工具及其使用方式的局限性

　　这种复杂性和不确定性并不意味着组织无法管理安全风险。相反，负责做出风险决策的人需要：

　　了解他们使用的工具的局限性

　　了解在某些情况下可以通过实施预定义的安全控制和方法来管理风险，以及在某些情况下不能进行管理

　　在不同的环境中采用不同的策略来做出明智的安全风险管理决策

　　发展有效的文化和环境

　　有效的安全文化和环境还将帮助组织应对这种复杂性和风险管理的不确定性。可以通过以下方式鼓励适当的安全文化和环境：

　　确保参与安全风险管理决策的每个人都了解实现目标和维护业务的优先级比遵守通用的预定检查表更重要

　　聘用具备网络安全、业务和风险管理技能以及制定和实现有效决策所需的知识和专长的人员

　　信任并授权这些人做出风险管理决策

　　尽量减少程序和文件的工作量，只限于实现及时有效决策所必需的工作量

　　将风险管理“烘焙”成“一切照旧”，因此它被视为与其他风险管理方式一致的持续活动（而不是一次性行动）

　　使负责制定风险管理决策的人员能够轻松访问（并理解）他们需要的信息

　　减少该信息以任何引入不确定性和偏见的方式被误解、削弱或阐述的机会

　　接受技术和安全风险将被意识到，并了解组织将采取哪些措施来最大限度地减少损害、继续运营并根据经验教训进行改进

　　确保以下人员之间的沟通：

　　a） 负责安全的人员

　　b） 负责制定风险管理决策的人员

　　c） 负责执行风险管理活动的人员

　　- 清晰且有意义，以便可以正确有效地对信息采取行动

　　沟通风险管理信息

　　风险管理信息的有效沟通有助于组织指导和控制风险管理活动。为了使这种沟通有效，组织必须建立内部和外部渠道来与员工、业务合作伙伴和客户进行沟通。组织内的沟通在组织的正确级别之间流动时最有效；自上而下、自下而上和横向：

　　自上而下的沟通为决策者提供公司方向和业务目标

　　自下而上和横向沟通提供详细的技术、非技术和安全信息，以告知风险管理决策

　　在内部沟通时，应包括：

　　业务目标、优先事项和风险管理方向

　　组织关心什么以及为什么

　　组织将（和不会）承担哪些风险

　　谁负责做出风险管理决策

　　在与第三方进行外部沟通时，应包括：

　　风险管理和决策背景

　　什么需要保护，为什么？

　　如果受保护资产的安全依赖于另一方，那么组织期望该方采取什么措施来保护它？（例如合同中的安全程序或安全要求）

　　在第三方为组织关心的事情提供安全性的情况下，组织如何获得第三方正在按预期提供安全性的信心？

　　为了以清晰且有意义的方式传达风险管理信息，组织应使用通俗易懂的英语和众所周知的业务、技术和安全术语。应避免使用定制的风险管理语言或专业术语。

　　人们通常认为，由于组织使用通用的风险评估（或风险管理）方法，因此他们将能够使用生成的风险信息（例如风险编号、风险级别和影响级别）作为速记，将信息传达给风险管理决策者和业务合作伙伴。如果没有就风险管理信息的含义达成一致，这种假设是不正确的。个人和组织会根据他们的个人和群体偏见、他们的经验、知识和优先事项来解释或误解与风险相关的信息。如果提供的风险管理信息没有意义、解释或上下文，则尤其如此。

　　与任何其他关系一样，各方之间的信任建立在良好的沟通之上，这使双方能够理解彼此的价值，并就风险管理信息和风险评估输出的具体含义达成一致。这种理解将使组织能够信任其他人提供给他们的风险管理信息，并自信地使用技术系统和服务。