4.2 发展战略和业务识别内容_信息安全风险管理与实践-QQ阅读男生都市网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

4.2 发展战略和业务识别内容

4.2.1 发展战略识别

4.2.1.1 发展战略识别定义

1.发展战略定义

发展战略是组织为履行职能、使命，实现发展目标而制定的一组规则或要求。对组织而言，发展战略是组织如何实现发展的战略理论；对政府机构而言，发展战略是其履行职责、使命的战略理论，其他组织的发展战略可以此为借鉴。通常发展战略包括四个部分：属性及职能定位、发展目标、业务规划和竞争关系。属性及职能定位相当于组织的愿景，为组织指明了发展方向；发展目标明确了组织的发展速度与发展质量；业务规划明确了组织的战略发展点；竞争关系涉及直接竞争关系和间接竞争关系。通过这四个上下相互支撑的组成部分，形成了能够解决组织发展问题的发展战略理论体系。

2.发展战略识别的定义

发展战略识别是风险评估的重要环节。发展战略识别就是依据环境建立输出的文档，选择适当的发展战略识别方法，识别组织的属性及职能定位、发展目标、业务规划、竞争关系相关的使命、方针和策略，并形成发展战略清单的过程。

4.2.1.2 发展战略识别内容

发展战略的表现形式是多样的，其内容根据组织发展状况和外界情况会进行动态调整，并受政府、行业管控，法律、法规和监管，以及竞争关系等因素影响。

发展战略识别可以由战略推导出各项业务发展情况；也可以以各项业务为核心，针对各项业务的定位和情况确定整体发展战略情况。业务具有关联性，以业务为核心进行战略识别时，可根据业务间的关联性进行综合分析，也可参考组织自身的发展战略规划[6]。

发展战略识别的数据来自管理人员或者熟悉组织发展战略情况的人员。发展战略识别所采用的方法主要有：访谈、文档查阅、资料调查等，主要从属性及职能定位、发展目标、业务规划、竞争关系等方面进行。属性及职能定位涉及国家层面和民生层面的识别内容；发展目标涉及与各业务相关的长期目标层面和短期目标层面识别内容；业务规划涉及业务发展计划、业务流程、审批流程、相关制度等层面的识别内容。竞争关系涉及直接和间接竞争关系的识别内容等。如果信息安全对于组织有特殊重要的意义，例如拥有国家关键信息基础设施的组织，安全战略是其发展战略中不可或缺的内容，也应纳入识别的范围。安全战略通常涉及组织的安全管理方针和配套安全管理体系，在一般情况下，安全战略有关的内容也可能放入发展目标。表4-1提供了一种发展战略识别内容的参考。

表4-1 发展战略识别内容表[6]

4.2.2 业务识别内容

4.2.2.1 业务识别定义

1.业务定义

业务是组织内部某些生产经营活动或资产的组合。该组合一般具有投入、加工处理过程和产出能力，能够独立计算其成本费用或所产生的收入，但不构成独立法人资格。

2.业务识别定义

业务识别是依据环境建立输出的文档，选择适当的业务识别方法，识别组织为实现发展战略所开展的生产经营活动或一系列创造价值的活动，并形成业务清单的过程。

4.2.2.2 业务识别内容

业务是组织发展的核心，具有价值、多样性、复杂性等特点。业务识别内容包括业务的属性、定位、业务关联性和业务完整性，是风险评估的关键环节，它与战略识别关系紧密，相互补充。业务识别的数据可来自熟悉组织业务结构的业务人员或管理人员。业务识别所采用的方法主要有：访谈、文档查阅、资料调查，还可通过对信息系统进行梳理后进行总结、整理和补充。表4-2提供了一种业务识别内容的参考。

表4-2 业务识别内容表[6]

4.2.2.3 业务重要性

业务重要性是评价业务和业务流程的一个重要属性。业务重要性赋值是指根据组织发展战略对业务的依赖程度，为业务的重要性划分等级并赋予一定等级数值的过程。业务的重要性对资产的重要性、威胁的动机和能力都会产生影响。根据业务的重要程度，将其分为五个不同的等级，分别对应业务在重要性上应达成的不同程度。表4-3提供了一种业务重要性等级赋值的参考。

表4-3 业务重要性等级赋值标准[6]

4.2.3 发展战略、业务与资产关系

发展战略、业务和资产关系如图4-1所示。

图4-1 发展战略、业务和资产关系图[6]

发展战略、业务和资产的组织形式自上而下分别是战略、业务、信息系统、平台、基础设施，如图4-1所示。关联分析的重点是战略对业务的依赖性分析、业务对资产的依赖性分析和资产CIA属性丧失对业务/战略影响分析。

（1）发展战略对业务具有依赖性，组织战略的实施需要通过业务实现。业务重要性赋值需将战略对业务的依赖程度作为考虑因素，将战略和业务的关系进行量化。

（2）业务对资产具有依赖性，业务的运行需要搭载在资产之上，资产重要性赋值时需将业务对资产的依赖程度作为考虑因素，对业务和资产的关系进行量化。

（3）资产CIA属性丧失会对业务产生不同程度的影响，从而对战略产生不同程度的影响。

战略、业务和资产关联分析是明确被评估组织战略、业务和资产之间的关联性，将业务的价值传递到资产。业务重要性赋值不仅是对业务本身的重要性赋值，还要综合分析业务在战略中的重要性，资产重要性则依据资产的保密性、完整性和可用性，结合业务承载性和业务重要性，进行重要性等级划分和赋值。

4.2.4 发展战略识别和业务识别的目的和意义

信息技术的飞速发展，正深刻改变着企业经营和业务管理的方式。当前，组织将信息技术与业务流程紧密结合起来，以关键业务流程为中心，重点开展了业务流程的信息技术创新和电子商务。无论是组织管理还是业务流程都与信息系统和信息技术之间有着密切联系。与此同时，信息安全事件层出不穷，信息安全风险问题较为突出。组织需要从发展战略和关键业务的不断梳理中识别面临的风险，找出安全事故的源头，采取有效的安全控制措施，确保组织愿景和承诺目标得以实现。

一方面，组织的发展战略一般需要通过业务落地，业务的战略地位越高，要求其风险越小。另一方面，业务是有重要性的，组织的业务重要程度越高，以及对资产的依赖程度越高，资产价值就越大，资产重要性就越高。同时，业务也是有价值的，业务价值越大，面临的威胁就可能越大。此外，业务的脆弱性可能暴露具有价值的业务，业务脆弱性越高则风险可能越大。发展战略、业务、资产之间的依赖关系加大了风险发生的可能性和风险一旦发生对组织造成的影响。将发展战略和业务纳入风险识别范围，特别是对业务重要性赋值并参与到风险值的计算中来，得到的风险值更准确，风险的评级更全面，从而使信息安全风险管理过程更加科学、完整、规范。