4.4 发展战略和业务识别过程和输出_信息安全风险管理与实践-QQ阅读男生都市网

书名：信息安全风险管理与实践
作者名：曹雅斌等主编
本章字数：2176字
更新时间：2022-05-06 18:36:48

4.4 发展战略和业务识别过程和输出

4.4.1 发展战略识别过程和输出

4.4.1.1 发展战略识别过程

发展战略识别过程是指通过访谈、文档查阅、资料调研或其他方法，从属性及职能定位、发展目标、业务规划和竞争关系四个层面，识别分析出组织发展战略的过程。

组织的发展战略虽然有多种，但基本属性是相同的，都是对组织整体性、长期性、基本性问题的策略。例如：发展方向问题、发展目标问题、发展步骤问题、品牌建设问题、信誉建设问题、文化建设问题、人才开发问题、创新问题等。发展战略识别的内容主要集中于四个方面：组织的属性及职能定位、发展目标、业务规划和竞争关系等侧重整体性、发展性的规划和策略。

组织的发展战略通常的载体是组织文件，例如：《某公司三年/五年发展战略规划书》《某集团中期发展规划》《某集团发展战略报告》《某公司发展战略计划书》等。发展战略识别一方面通过与组织管理者进行面对面访谈并记录下来，另一方面通过查阅组织的相关文档获取。具体过程包括以下几个方面。

1.明确识别对象

为识别发展战略需要明确访谈的具体人员和查阅的具体文档，并做好记录，如表4-6所示。访谈对象应来自高层管理人员或者熟悉组织发展战略情况的人员。

表4-6 访谈对象表

2.确定实施内容与计划

通过表格的形式将发展战略识别的工作内容、方法和计划确定下来，供风险管理组织确认。发展战略识别实施计划表如表4-7所示。

表4-7 发展战略识别实施计划表

3.明确风险管理责任

（1）风险评估工作组提供风险评估相关工具和样例；

（2）风险评估工作组负责组织发展战略的汇总与评估；

（3）组织自身需提供与被评估内容相关的文档或资料；

（4）组织自身需确保发展战略涉及的各个单位（部门）必须有专门的人员及时参与评估与讨论。

4.输出文档与验收

发展战略识别的成果是输出文档《发展战略分析报告》，并提交确认，进行阶段性工作验收。

4.4.1.2 发展战略识别输出文档

组织发展战略识别输出的文档有访谈记录、发展战略调查表等，经过整理，最终输出《发展战略分析报告》。它至少应包括组织概况、发展战略识别方法或工具、发展战略识别结果列表、访谈对象和参考文档等内容。

风险评估工作组提交《发展战略分析报告》，经组织与风险管理团队项目经理签字确认，即为验收通过。

4.4.2 业务识别过程和输出

4.4.2.1 业务识别过程

业务识别过程就是通过访谈、文档查阅或其他方法识别分析出业务和业务流程，再与发展战略做关联分析为业务重要性赋值的过程。

业务识别过程与发展战略识别的过程基本相同，包括以下内容：

（1）明确识别对象；

（2）确定实施内容与计划；

（3）明确风险管理责任；

（4）业务重要性赋值；

（5）输出文档与验收等。

所不同的是，业务识别需要为相应的业务重要性赋值。因为业务重要性取值将参与最终风险值的计算。

4.4.2.2 业务重要性赋值

组织的发展战略与业务的关系，或者业务在发展战略中的地位、作用重要性决定了业务的重要性。因此业务与发展战略四个方面的关系重要性共同决定了业务的重要性。

1.业务与发展战略各层面的关系重要性赋值

发展战略对业务具有依赖性，组织战略的实施需要通过业务实现。因此，业务重要性赋值前需将战略对业务的依赖程度作为考虑因素，将战略和业务的关系进行量化，计算出发展战略对业务的依赖程度值。

战略和业务的关系包括：战略的属性及职能定位与业务的关系、战略的发展目标与业务的关系、战略的业务规划与业务的关系，以及战略的核心竞争力与业务的关系等四个方面。表4-8提供了一种业务与发展战略的属性及职能定位关系重要性的赋值参考。

表4-8 业务与发展战略的属性及职能定位的关系重要性赋值表

表4-9提供了一种业务与发展战略的发展目标关系重要性的赋值参考。

表4-9 业务与发展战略的发展目标的关系重要性赋值表

表4-10提供了一种业务与发展战略的业务规划关系重要性的赋值参考。

表4-10 业务与发展战略的业务规划的关系重要性赋值表

表4-11提供了一种业务与发展战略的竞争关系重要性的赋值参考。

表4-11 业务与发展战略的竞争关系重要性赋值表

最后，综合评定业务与发展战略关系的重要性等级，得出发展战略对业务的依赖程度值，如表4-12所示。综合评定方法可结合自身特点，按照识别出业务与发展战略四个层面的关系重要性赋值的基础上，通过直接求和取平均值的方法或加权求和取平均值的方法计算每项业务的发展战略对其依赖程度值。

表4-12 业务与发展战略关系重要性

2.业务重要性赋值

业务重要性赋值的过程就是根据发展战略对业务的依赖程度按业务重要性等级标准划分等级并赋值。根据业务对组织发展战略的重要程度，将业务重要性分为五个不同的等级，前文的表4-3提供了一种重要性赋值的参考。

经业务与发展战略各层面关系量化得到的发展战略对业务的依赖程度值与业务重要性等级赋值标准对照后得到业务重要性赋值，如表4-13所示。

表4-13 业务重要性赋值

业务与资产、业务与威胁的关联分析均通过业务结构、业务流程进行统筹关联。业务的重要性会对资产的重要性产生影响，同时业务的重要性也会对威胁的动机、能力产生影响。业务重要性值将与资产重要性、威胁严重程度、脆弱性严重程度和已有安全措施一起用于风险值的计算。

4.4.2.3 业务识别输出文档

业务识别最终输出文档《业务分析报告》。它至少应包括组织概况、业务识别方法、业务重要性等级赋值标准、业务与发展战略四个层面的关系赋值表、业务重要性赋值表，以及访谈对象和参考文档列表等内容。

风险评估工作组提交《业务分析报告》，经组织与风险评估团队项目经理签字确认，即为验收通过。