3.1 环境建立概述

3.1.1 环境建立定义

环境建立是信息安全风险管理的第一步。所谓环境建立是指确定风险管理的对象和范围，做好实施风险管理的准备，进行相关信息的调查和分析，确定风险管理方法、定义基本准则、组建风险管理团队，对信息安全风险管理项目进行规划和准备，保障后续风险管理活动顺利进行的过程[4]。

风险管理过程的环境应根据对组织运行的外部和内部环境的理解来确定。风险管理过程的外部和内部环境在设计组织风险管理框架时已建立。

外部和内部环境是指有助于理解组织、寻求界定和实现目标的组织内部和外部的规定、承诺、关系和文化等相关信息[5]。

1.组织的内部环境

组织的内部环境是在实现目标过程中所面临的组织内部的历史、现在和未来的各种相关信息。

信息安全风险管理过程要与组织的文化、经营过程和结构相适应，包括组织内影响其风险管理的任何事物。组织需明确内部环境信息，因为风险可能会影响组织战略、日常经营或项目运营等方面，从而会进一步影响组织的价值、信用和承诺等。风险管理是在组织的特定目标和管理条件下进行的，其具体活动的目标和有关准则应放到组织整体目标的环境中考虑。

组织的内部环境包括但不局限于：

（1）组织愿景、使命和价值观；

（2）组织治理、组织结构及其角色分工和责任；

（3）组织发展目标和策略；

（4）组织的文化；

（5）组织采用的标准、准则和模型；

（6）组织获取资源和相关知识（例如资本、时间、人员、知识产权、流程、系统和技术）的能力；

（7）数据、信息系统、信息流、正式或非正式的决策流程；

（8）内部利益相关方的观点、价值观和相互依赖关系；

（9）合同中的关于内部关系和承诺的条款。

2.组织的外部环境

组织的外部环境是组织在实现目标过程中所面临的外界的历史、现在和未来的各种相关信息。

为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点，组织需要了解外部环境信息。外部环境以组织所处的整体环境为基础，包括法律和监管要求、利益相关者的诉求和与具体风险管理相关的其他方面的信息等。

组织的外部环境包括但不局限于：

（1）国际、国内社会、政治、经济、自然、文化、科技、法律、金融，以及竞争环境因素；

（2）与组织相关的监管、财务或技术限制；

（3）影响组织目标的关键驱动因素和趋势；

（4）外部利益相关方的需求、观点、价值观和相互依赖关系；

（5）合同中的关于外部关系和承诺的条款；

（6）网络环境中外部依赖关系及其复杂性。

3.1.2 环境建立目的和依据

环境建立是为了明确信息安全风险管理的范围和对象，设定信息安全风险管理所必需的基本准则，确定对象的特性和安全要求，并建立运行信息安全风险管理的适当的组织，对信息安全风险管理项目进行规划和准备，保障后续的风险管理活动顺利进行的过程[4]。因为风险管理是在组织目标和活动的背景下进行的，组织因素也可能是风险的来源，同时风险管理的目标可能与整个组织的目标相关联，所以环境建立显得尤为重要。

环境建立的主要依据包括国家、地区或行业的相关政策、法律、法规和标准，以及风险管理对象的业务目标、特性、外部和内部环境[4]，具体体现在以下内容（但不局限于下述内容）。

（1）适用的法律、法规，例如《中华人民共和国网络安全法》《中华人民共和国保密法》等；

（2）现行国际标准、国家标准、行业标准。例如：国际标准ISO 31000、ISO/IEC 27005，国家标准GB/T 24364、GB/T 20984和GB/T 22239等；

（3）组织发展战略，相关业务职能；

（4）行业主管机关的业务系统的监管要求和制度；

（5）与网络安全保护等级相应的基本要求；

（6）被评估组织的安全要求；

（7）系统自身的实时性或性能要求等。

根据风险管理依据，应考虑风险的安全需求来选择具体的风险评估、风险处置的方法和工具，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。

3.1.3 基本准则

基本准则是在风险管理框架的基础上依据组织风险管理目标、组织的能力等因素定义的一系列用于评估风险重要性、支持风险管理决策过程的标准、原则和方针。基本准则一般包括风险评价准则、影响准则和风险接受准则。它反映了组织的价值观、目标、义务，以及利益相关方的关切。

3.1.3.1 风险评价准则

风险评价准则是一系列用于指导风险评估活动的标准、原则和方针。制定风险评价准则应考虑以下因素[7]：

（1）风险评估的规范性、法律法规的要求和合同的义务，例如推导出标准性原则，指导风险评估的流程规范化；

（2）业务信息化的战略价值，例如推导出关键业务原则，明确评估重点；

（3）涉及信息资产的范围和边界，例如推导出关键业务原则和最小影响原则，指导评估范围和评估时机；

（4）相关信息资产的危急程度；

（5）运营和业务的重要性、可用性、保密性和完整性，例如推导出最小影响原则、可控性原则、可恢复性原则和保密性原则，指导评估工作自身风险控制、意外情况恢复和签订保密协议等；

（6）利益相关方的期望和观念，以及风险对商誉和声誉的负面影响，例如推导出可控性原则，保证风险评估活动服务可控、人员信息可控、过程可控、工具可控等；

（7）决定风险处置的优先顺序，例如推导出标准性原则和关键业务原则，指导风险分析与评价，为后续风险处置提供建议。

3.1.3.2 影响准则

影响是指信息安全风险给组织的目标所带来的不利变化。值得注意的是国际标准ISO 31000使用“后果准则”的概念而不是“影响准则”，强调风险带来的正面和负面的双重后果。

所谓影响准则是一系列标准、原则或方针，用于判断信息安全威胁利用资产或安全措施的脆弱性、并结合业务和资产的重要性对组织造成的损失和损害。

定义影响准则应考虑下列因素[7]：

（1）受影响的信息资产的级别；

（2）对信息安全属性的破坏情况（如保密性、完整性和可用性的丧失）；

（3）业务运行中的损失（内部或第三方）；

（4）商业和财务价值的损失；

（5）对计划和最终期限的破坏；

（6）对组织声誉的损毁；

（7）对法律法规或合同要求的违背等。

3.1.3.3 风险接受准则

风险接受是组织管理者通过评估正式决定接受某一风险的决策。风险接受准则是指组织应该为风险接受水平的尺度所制定的一系列标准、原则和方针。风险接受准则通常与组织的方针、目标和利益相关方的利益有关。在定义风险接受准则时组织应考虑以下因素[7]：

（1）风险接受准则可以规定多个具有风险预期目标水平的阈值，但在确定的情形下，提交给高层管理者接受的风险可能超出该级别；

（2）风险接受准则可以表示为估计利润（或其他商业利益）与估计风险的比率；

（3）不同类别的风险需对应不同的风险接受准则，例如，导致不符合法律法规的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险；

（4）应与风险处置的要求相对应，例如，通过实施风险处置措施，在规定的时间段内将风险降低到可接受的水平，则可以接受风险；

（5）根据预期风险存在的不同时间，风险接受准则也应不同，例如可以与临时或短期风险相对应；

（6）其他考虑因素还包括商业运作标准、技术水平、财力、人道主义和社会因素等。

3.1.4 范围和边界

范围是与组织相关的引发信息安全风险的各种因素。边界是与组织信息安全相关的物理或逻辑上的管理界限。组织应明确信息安全风险管理的范围，以确保在风险管理中考虑所有相关的组织战略、业务和资产。此外，需要识别边界以解决通过这些边界可能产生的风险。例如常见的风险管理范围可以是IT应用程序、IT基础设施、业务流程或组织确定的部分；常见的边界可以是组织的逻辑边界、管理权限边界、内外网的连接点或物理环境边界等。

另外，由于风险管理过程可能适用于不同的层面，例如战略、运营、计划、项目或活动等，因此所考虑的范围和边界也会不同。

3.1.5 信息安全风险管理组织

这里的信息安全风险管理组织是指组织内部成立的信息安全风险管理机构，负责确定和保持信息安全风险管理过程的角色和责任。以下是该组织的主要职责：

（1）制定适合组织的信息安全风险管理方针、原则、计划、方法和过程；

（2）明确利益相关方并进行沟通；

（3）确定组织内部和外部所有各方的角色和职责；

（4）在组织和利益相关方之间建立所需的关系，包括建立利益相关方与组织高层风险管理职能（例如运作风险管理）部门的联系，以及建立本信息安全风险管理组织与其他相关项目或活动的联系；

（5）确定信息安全风险管理批准监督的流程和路径；

（6）保存、记录和规范信息安全风险管理文档。

信息安全风险管理组织应由组织的高层管理者如决策层来批准。