組織如何控制、指導和交流其網(wǎng)絡安全風險管理活動。

　　什么是安全治理？

　　安全管理是通過控制和指揮組織的安全方法。如果做得好，安全治理將有效地協(xié)調(diào)組織的安全活動，支持圍繞組織進行安全信息和決策的流動。

　　正如安全是組織內(nèi)每個人的責任一樣，安全決策可以發(fā)生在所有級別。為實現(xiàn)這一目標，組織的高層領導應使用安全治理來規(guī)定他們準備讓員工承擔哪些安全風險，以及他們不準備承擔哪些安全風險。

　　哪種安全治理方法適合我？

　　首先，需要明確一點就是沒有“一刀切”的安全治理方法。不同組織最終采用的方法會有所不同。在一種極端情況下，可以選擇具有明確定義的角色和業(yè)務流程的正式安全框架。另一方面，可以選擇更非正式的方法來指導、控制和制定安全決策。

　　回答以下問題將幫助組織決定正式方法：

　　組織規(guī)模和復雜程度如何？

　　哪些資源可用于安全治理？

　　組織是做什么的，安全對于這些目標有多重要？

　　是否有任何外部考慮因素（例如合同、法律、監(jiān)管或部門特定要求）？

　　實際上，正確的方法意味著確定：

　　需要做出的安全決策

　　制造它們的人

　　做出明智和明智的選擇所需的信息

　　圖片

　　安全治理的好方法是什么樣的？

　　無論正式程度如何，善治都應該：

　　將安全活動與組織的目標和優(yōu)先事項明確聯(lián)系起來

　　確定負責制定安全決策的各個級別的個人并授權(quán)他們這樣做

　　確保對決策負責

　　確保向決策者提供有關其選擇影響的反饋

　　任何安全治理方法都應該適合組織更廣泛的治理方法。安全需要與其他業(yè)務優(yōu)先事項一起考慮，例如健康和安全或財務治理。

　　確定適合組織的方法

　　應該考慮組織面臨的問題并決定適合的方法，因為采用安全治理流程本身并不能實現(xiàn)良好的安全性。治理行為不應與良好安全性的日常運營和維護分開。

　　例如，高層領導僅僅聲明“安全風險是不可接受的”是不夠的。這樣做將迫使員工僅根據(jù)個人知識和經(jīng)驗承擔風險，而沒有充分考慮組織的優(yōu)先事項。