企业里谁应该承担信息安全风险管理的哪些职责?
信息安全风险专业性强、涉及领域广,适宜在IT条线内部进行管理,IT部门承担信息安全风险的管理职责,具体落实在部门内的信息安全风险条线;
业务部门承担系统中业务流程自身的操作风险;
企业风险管理部门对信息安全风险管理提供指导;
信息安全风险管理职能应向企业风险管理部门提供信息安全风险管理报告,以汇总到企业整体风险管理报告中;
其中:
•R = Responsible谁负责,负责执行任务的角色,具体负责操控项目、解决问题。
•A = Accountable谁批准,对任务负全责的角色,只有经其同意或签署之后,项目才能得以进行。
•C = Consulted咨询谁,在任务实施前或中提供指定性意见的人员。
•I = Informed告知谁,及时被通知结果的人员,不必向其咨询、征求意见。