1.11　风险管理流程

一些基本组件对信息安全和隐私计划（包括相关的风险管理）至关重要。了解和理解这些原则的专业人员能够执行风险管理活动、评估和项目；预测并应对新的威胁，发现新的漏洞，并确保遵循有关数据保护和隐私的所有法律要求。这些基本组件包括：42

●根据以下需求定义、识别并分类系统、应用程序和数据：

■机密性。

■完整性。

■可用性。

● 确定以下相关的法律要求：

■法律和法规。

■合同，包括数据处理协议。

■隐私和安全通告及其他具有法律约束力的声明。

● 识别风险并制订计划以持续应对风险：

■与网络安全人员合作执行风险评估和 PIA，结合安全风险评估流程解决隐私合规性和风险缓解的问题。

■分配缓解和补救工作的责任，同时识别流程改进机会。

● 确定缓解风险、提高缓解工作的有效性和促进持续改进（Continual Improvement， CI）的最佳方式，其中还包括：

■针对发现的风险建立 CAP。

■制订行动计划和相关的里程碑（Plan of Action and Associated Milestones， POA＆M）。

实施这些行动要求合理考虑并设计适合企业各个业务环境的安全、隐私和合规治理结构，以及建立完整的数据处理生态系统。

现有的标准化框架有助于管理风险，确保涵盖所有注意事项。框架的示例如下：

●COBIT 2019。

●NIST 风险管理框架。

●NIST 隐私框架。

●ISO 31000——风险管理。

必须记录和实施安全、隐私和合规性活动，同时考虑到相关业务组织结构的可持续性、角色职责和工作分配。这种方法有助于确保持续进行的连续监控和改进不仅支持组织当下的需求，还能支持组织未来的需求。遵循与业务环境一致的可行、适用且适当的治理结构至关重要。POA＆M 应考虑以下基本评估：

●描述当前对发现的漏洞和系统问题的处置方式，包括企业针对这些问题的预期纠正措施。

●设计有序的结构化方法来跟踪风险缓解活动。

●确定为缓解风险需要完成的任务。

●建立持续的监控活动，解决所有发现的漏洞和问题。