組織如何控制、指導和交流其網絡安全風險管理活動。

　　什么是安全治理？

　　安全管理是通過控制和指揮組織的安全方法。如果做得好，安全治理將有效地協調組織的安全活動，支持圍繞組織進行安全信息和決策的流動。

　　正如安全是組織內每個人的責任一樣，安全決策可以發生在所有級別。為實現這一目標，組織的高層領導應使用安全治理來規定他們準備讓員工承擔哪些安全風險，以及他們不準備承擔哪些安全風險。

　　哪種安全治理方法適合我？

　　首先，需要明確一點就是沒有“一刀切”的安全治理方法。不同組織最終采用的方法會有所不同。在一種極端情況下，可以選擇具有明確定義的角色和業務流程的正式安全框架。另一方面，可以選擇更非正式的方法來指導、控制和制定安全決策。

　　回答以下問題將幫助組織決定正式方法：

　　組織規模和復雜程度如何？

　　哪些資源可用于安全治理？

　　組織是做什么的，安全對于這些目標有多重要？

　　是否有任何外部考慮因素（例如合同、法律、監管或部門特定要求）？

　　實際上，正確的方法意味著確定：

　　需要做出的安全決策

　　制造它們的人

　　做出明智和明智的選擇所需的信息

　　圖片

　　安全治理的好方法是什么樣的？

　　無論正式程度如何，善治都應該：

　　將安全活動與組織的目標和優先事項明確聯系起來

　　確定負責制定安全決策的各個級別的個人并授權他們這樣做

　　確保對決策負責

　　確保向決策者提供有關其選擇影響的反饋

　　任何安全治理方法都應該適合組織更廣泛的治理方法。安全需要與其他業務優先事項一起考慮，例如健康和安全或財務治理。

　　確定適合組織的方法

　　應該考慮組織面臨的問題并決定適合的方法，因為采用安全治理流程本身并不能實現良好的安全性。治理行為不應與良好安全性的日常運營和維護分開。

　　例如，高層領導僅僅聲明“安全風險是不可接受的”是不夠的。這樣做將迫使員工僅根據個人知識和經驗承擔風險，而沒有充分考慮組織的優先事項。