組織如何控制、指導(dǎo)和交流其網(wǎng)絡(luò)安全風(fēng)險管理活動。

　　什么是安全治理？

　　安全管理是通過控制和指揮組織的安全方法。如果做得好，安全治理將有效地協(xié)調(diào)組織的安全活動，支持圍繞組織進(jìn)行安全信息和決策的流動。

　　正如安全是組織內(nèi)每個人的責(zé)任一樣，安全決策可以發(fā)生在所有級別。為實現(xiàn)這一目標(biāo)，組織的高層領(lǐng)導(dǎo)應(yīng)使用安全治理來規(guī)定他們準(zhǔn)備讓員工承擔(dān)哪些安全風(fēng)險，以及他們不準(zhǔn)備承擔(dān)哪些安全風(fēng)險。

　　哪種安全治理方法適合我？

　　首先，需要明確一點就是沒有“一刀切”的安全治理方法。不同組織最終采用的方法會有所不同。在一種極端情況下，可以選擇具有明確定義的角色和業(yè)務(wù)流程的正式安全框架。另一方面，可以選擇更非正式的方法來指導(dǎo)、控制和制定安全決策。

　　回答以下問題將幫助組織決定正式方法：

　　組織規(guī)模和復(fù)雜程度如何？

　　哪些資源可用于安全治理？

　　組織是做什么的，安全對于這些目標(biāo)有多重要？

　　是否有任何外部考慮因素（例如合同、法律、監(jiān)管或部門特定要求）？

　　實際上，正確的方法意味著確定：

　　需要做出的安全決策

　　制造它們的人

　　做出明智和明智的選擇所需的信息

　　圖片

　　安全治理的好方法是什么樣的？

　　無論正式程度如何，善治都應(yīng)該：

　　將安全活動與組織的目標(biāo)和優(yōu)先事項明確聯(lián)系起來

　　確定負(fù)責(zé)制定安全決策的各個級別的個人并授權(quán)他們這樣做

　　確保對決策負(fù)責(zé)

　　確保向決策者提供有關(guān)其選擇影響的反饋

　　任何安全治理方法都應(yīng)該適合組織更廣泛的治理方法。安全需要與其他業(yè)務(wù)優(yōu)先事項一起考慮，例如健康和安全或財務(wù)治理。

　　確定適合組織的方法

　　應(yīng)該考慮組織面臨的問題并決定適合的方法，因為采用安全治理流程本身并不能實現(xiàn)良好的安全性。治理行為不應(yīng)與良好安全性的日常運(yùn)營和維護(hù)分開。

　　例如，高層領(lǐng)導(dǎo)僅僅聲明“安全風(fēng)險是不可接受的”是不夠的。這樣做將迫使員工僅根據(jù)個人知識和經(jīng)驗承擔(dān)風(fēng)險，而沒有充分考慮組織的優(yōu)先事項。